ecshop 过滤会员留言内容
php 过滤危险参数
最近,ecshop总是被挂马。在清除木马过程中发现后台会员留言功能如下图;
这样在前台显示的时候a标签容易出现外链。
解决方案
在网站根目录下找到message.php文件找到78行
将代码
'msg_content' => isset($_POST['msg_content']) ? trim($_POST['msg_content']) : '',
修改为:
'msg_content' => strip_tags(isset($_POST['msg_content']) ? trim($_POST['msg_content']) : ''),
测试提交留言内容:
Hello <b>world!</b>
后台展示结果为:
Hello world!