㈠ 怎么去掉ecshop模板文件过滤php标签
最好不要在模板里面写php。会导致sql注入,引起后台账号泄露。
ECshop的模板是支持php代码的,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是:
1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到管理密码。(注:防止暴出管理密码md5值的方法是关闭display_errors,并且修改cls_mysql.php里的ErrorMsg函数,注释掉所有错误输出代码或把错误写入文件)
2、进入管理后台,通过模板管理->库项目管理,编辑lbi文件,添加php代码,例如<?php @eval($_POST['lx']);?>
3、到这里,就完全控制这个站了,想挂什么马就挂什么马。
可见,ECshop的模板支持php代码这点是非常危险的,因此我们应该过滤模板里的所有php代码。
如果实在要去掉ecshop模板文件过滤php标签
修改 includes/cls_template.php
可以遵循以下步骤:
去掉第288-299行以下代码:
if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
{
$sp_match[1] = array_unique($sp_match[1]);
for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
{
$source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
}
for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
{
$source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
}
}
这样,模板里的php代码就被保留了。
㈡ ecshop 下面php代码如何 转换到ecshop模版调用输出
你可以直接在php文件内操作哦,比如你想在index.dwt里调用,那你可以在index.php 把你写的函数加进去然后 再index.php 里加入
$content=getline($file); //$file我不大清楚你传的是哪里的值
$smarty->assign('res', $content);
index.dwt里 直接{$res}就可以了
㈢ ecshop模板文件能执行php代码吗
ECSHOP是使用PHP语言进行书写的,因此拥有运行PHP的安装环境,所以是能够在模板文件上进行运行PHP代码的.所有由PHP语言书写的CMS系统均可以运行PHP语言!
㈣ ecshop的模板里如何用原生php语法
为什么非要在模板里写php代码,写在执行页面不行吗?详细说来听听。
㈤ 怎么做PHP程序,dz ecshop模板展示
空间上面新建三个文件夹分别为:X1 X2 X3 可以共用同一数据库。在网站系统安装时候,记得修改安装的数据表,不一样就OK了。
㈥ 请问对ecshop那样的平台模板(基本都是PHP写的)进行二次开发的步骤,用java要怎么改
php 转java语言还是蛮难的 要改的东西太多 你说的模版不知道是不是像freemarker一样的 如果是 其实和我们用java语言做的web项目差不多!!
㈦ php,ecshop。想写一个商城,不用框架写的又怕被攻击,不知道要什么框架好,发现thinkph
当然用ecshop,模板想怎样改都行呢。不要的功能就全部屏蔽掉就行了。
㈧ ecshop定义了PHP的开始符号和结束符号<php >为{ },这样可以直接在dwt模板里面
模板标签替换,把一些特定的标签解析成php语句,现在一般的开源程序都有这种功能,象phpcms,dede等等,各有各的做法,但原理都是一样,都用正则匹配替换,ecshop里的解析可以看看includes/cls_template.php,这里你会找到答案
㈨ ecshop模板自己做怎么做呢
这个话题比较大,不是一两句话可说清楚,不过可以告诉你简单的流程:
一、首先由设计人员按需求设计出网站各个页面的psd图
二、再由页面制作人员把psd图切成一个个的独立的静态的html
三、然后就是开始套ecshop的模板,套ecshop模板你需要了解ecshop的模板机制和常用的标签及lbi库的调用方法,这些都不难,因为自带的default模板,我们可以拿过来研究,照葫芦画瓢。
最后祝你早日学习ecshop模板的制作方法
㈩ ECSHOP如何将静态模板实现动态 第一次接触ECSHOP和PHP语言 请详细解答
以增加一个分类页面为例
第一步:
把根目录下 category.php 这个文件复制多一个文件,文件名自己起吧,我就以category2.php为例
同样的方法打开themes\default文件夹找到ecshop模板文件,category.dwt这个文件也复制多一个,改为category2.dwt
第二步
打开这个文件category2.php 打到以下行 大约是74行吧
if (!$smarty->is_cached('category.dwt', $cache_id)) 改为if (!$smarty->is_cached('category2.dwt', $cache_id))
大约是397行
$smarty->display('category.dwt', $cache_id);改为 $smarty->display('category2.dwt', $cache_id);
保存
第三步
打开admin\includes\lib_template.php这个文件
在“/* 可以设置内容的ecshop模板 *” 下面增加多一行
'category2.dwt',
在"/* 每个模板允许设置的库项目 " 中
复制“
'category' => array(
'/library/ur_here.lbi' => 0,
'/library/search_form.lbi' => 0,
'/library/member.lbi' => 0,
'/library/category_tree.lbi' => 0,
'/library/top10.lbi' => 0,
'/library/history.lbi' => 0,
'/library/recommend_best.lbi' => 3,
'/library/recommend_hot.lbi' => 3,
'/library/goods_list.lbi' => 0,
'/library/pages.lbi' => 0,
'/library/recommend_promotion.lbi' => 3,
'/library/brands.lbi' => 3,
'/library/promotion_info.lbi' => 0,
'/library/cart.lbi' => 0,
'/library/vote_list.lbi' => 0
),
复制代码
”
并把'category' => array( 这个改为 'category2' => array( 然后在
"),
'compare' => array("
这两行之间粘贴
再打开:languages\zh_cn\admin\template.php文件
在“/* 每一个ecshop模板文件对应的语言 *”后面增加多一行$_LANG['template_files']['category2'] = '新建商品首页'; (这个文件名可以自定义)
访问后台,设置ecshop模板》请选择一个ecshop模板:中看到了你的新增页面吧!呵呵,
第四步
打开“themes\default\libs.xml”编辑
复制73行至83行
<file name="category.dwt">
<region name="">
<lib>cart</lib>
<lib>category_tree</lib>
<lib>filter_attr</lib>
<lib>price_grade</lib>
<lib>history</lib>
</region>
<region name=""/>
<region name="">
<lib>recommend_best</lib>
<lib>goods_list</lib>
<lib>pages</lib>
</region>
复制代码
改为
<file name="category2.dwt">
<region name="">
<lib>cart</lib>
<lib>category_tree</lib>
<lib>filter_attr</lib>
<lib>price_grade</lib>
<lib>history</lib>
</region>
<region name=""/>
<region name="">
<lib>recommend_best</lib>
<lib>goods_list</lib>
<lib>pages</lib>
</region>
复制代码
粘贴在83行与84行之行.
到此全部OK。打开后台模板就可以设置了