ECSHOP - Мощный китайский шоп

[Yuryus]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[invader]

*** скрытое содержание ***

Перехват COOKIE. Причем и админа в том числе. Вообще после смены разработчика дыр всё больше и больше. 2.7.2 в плане безопасности уж очень сырой...

 

[john_j]

2.7.2 в плане безопасности уж очень сырой...

На данный момент, в текущей 2.7.2, выложенной на оф.сайте версии, известных дыр нет.
Вообще-то, это, нормальное явление для популярного скрипта с открытым кодом. Важно, что-бы дыры, после их опубликования, залатывались быстро. Разработчик это делает мгновенно.

 

[Crucifer]

Версия магазина 2.7.2
Последнее время начали пропадать файлы с ftp. Сегодня пропал search.php . Попросил хостера показать логи. По ftp вроде все чисто. А вот запросы к этому файлу перед его исчезновению странные, у меня они вызывают ошибку mysql
MySQL server error report:Array ( [0] => Array ( [message] =>

MySQL Query Error ) [1] => Array ( [sql] => SELECT COUNT(*) FROM `vsecdcom_ecshop`.`ecs_goods` AS g WHERE g.is_delete = 0 AND g.is_on_sale = 1 AND g.is_alone_sale = 1 AND g.goods_id IN ('','':hash_code:31693422540744c0a6b6da635b7a5a93:') AND (( 1 ) ) ) [2] => Array ( [error] => You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ':hash_code:31693422540744c0a6b6da635b7a5a93:') AND (( 1 ) )' at line 1 ) [3] => Array ( [errno] => 1064 ) )

Это сами запросы

174.136.50.39 - - [22/Jul/2010:12:43:06 +0300] "GET /search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxNDY6IicpIEFORCAwIFVOSU9OIFNFTEVDVCAoU0VMRUNUIENPTkNBVCgweDI3LDB4M2EsdXNlcl9uYW1lLDB4M2EscGFzc3dvcmQsMHgzYSx1c2VyX2lkLDB4M2EpIEZST00gZWNzX2FkbWluX3VzZXIgV0hFUkUgYWN0aW9uX2xpc3Q9J2FsbCcgTElNSVQgMSksIDEjIjtpOjE7fX0= HTTP/1.1" 200 728 "http://site.com.ua/search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxNDY6IicpIEFORCAwIFVOSU9OIFNFTEVDVCAoU0VMRUNUIENPTkNBVCgweDI3LDB4M2EsdXNlcl9uYW1lLDB4M2EscGFzc3dvcmQsMHgzYSx1c2VyX2lkLDB4M2EpIEZST00gZWNzX2FkbWluX3VzZXIgV0hFUkUgYWN0aW9uX2xpc3Q9J2FsbCcgTElNSVQgMSksIDEjIjtpOjE7fX0=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
174.136.50.39 - - [22/Jul/2010:12:43:08 +0300] "GET /search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IicpIEFORCAwIFVOSU9OIFNFTEVDVCAoU0VMRUNUIENPTkNBVCgweDI3LDB4M2EsY29kZSwweDNhLHZhbHVlLDB4M2EpIEZST00gZWNzX3Nob3BfY29uZmlnIFdIRVJFIGNvZGU9J2hhc2hfY29kZScgTElNSVQgMSksIDEjIjtpOjE7fX0= HTTP/1.1" 200 726 "http://site.com.ua/search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IicpIEFORCAwIFVOSU9OIFNFTEVDVCAoU0VMRUNUIENPTkNBVCgweDI3LDB4M2EsY29kZSwweDNhLHZhbHVlLDB4M2EpIEZST00gZWNzX3Nob3BfY29uZmlnIFdIRVJFIGNvZGU9J2hhc2hfY29kZScgTElNSVQgMSksIDEjIjtpOjE7fX0=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

Хостер советует сменить пароли к сайту и проверится на вирусы. Я конечно все это сделаю, но возможно кто - нибудь прокомментирует то что я написал выше.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[husband]

После ввода будет перекидывать на главную.

Поиск перестал работать
Fatal error: Call to undefined function: strripos() in /home/site/public_html/search.php on line 38

Советую всем для начала, как уже писали при выходе 2.7.2 - изменить стандартный префикс таблиц.

Я так понял этот метод тоже сгодится?

 

[Crucifer]

Поиск перестал работать
Fatal error: Call to undefined function: strripos() in /home/site/public_html/search.php on line 38
Я так понял этот метод тоже сгодится?

Точно все правильно вставили? Я у себя вставил на 2.6.2 и на 2.7.2 - все работает.
Насчет префикса - так точное имя базы не смогут узнать, соответсвенно не смогут дальше перебором данные получать.

На всякий случай прикладываю файл search.php с версии 2.7.2

 

[husband]

Точно все правильно вставили? Я у себя вставил на 2.6.2 и на 2.7.2 - все работает.
Насчет префикса - так точное имя базы не смогут узнать, соответсвенно не смогут дальше перебором данные получать.
На всякий случай прикладываю файл search.php с версии 2.7.2

Мой search.php немного отличается. Наверное более старый.

 

[vitbsd]

Доброе время суток.
Есть вопросик к гуру.
Возможно ли реализовать следующие функции: выбор товара по цвету ( с пробником цвета) и еще заметил такую особенность. Нет комбинации свойств товара... например у меня колготки есть белые размеров L, XL но вот 40 ден только L ки...как замутить подобное на этом двиге? спасибо!

 

[Yuryus]

Можно реализовать.
Создаете категорию товара.
Колготки

Создаете атрибуты товара
Белые
Черные

Фильтрация в категории товара возможна по (устанавливается в свойствах категории товара)
Фильтровать только белые или только черные

Если добавите атрибут 40 ден, то возможно фильтровать
Только 40 ден или только белые или только черные или 40 ден только белые или 40 ден только черные или 40 ден черные и белые.
Любая комбинация атрибутов, указанных вами.

Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся о фильтрации атрибутов.

 

[HansikOd]

Кто-нибудь может поделиться списокм Регинов/Областей/Городов для Украины в виде SQL запроса?!