广州传奇网络
地址:广州市天河区东圃大马路富华楼C座
电话:13808825895
QQ:1564443073
ecshop的注入漏洞很多,黑客拖库以后,就会获得用户的密码信息,而ecshop对用户的加密只是用的简单的 md5()这个函数,也就是直接进行MD5加密,这样的话黑客可以通过在线md5 破解软件从而轻易的获取到用户的密码信息,导致用户密码泄漏。
最近在做一个项目,只要进行简单的修改,即可实现用户密码难以被在线md5网站破解,增加黑客获得用户信息的难度。
方法如下:
打开ECSHOP文件:includes/modules/integrates/integrate.php
搜索function compile_password ($cfg)这个函数
修改为如下代码:
function compile_password ($cfg){if (isset($cfg['password'])){ $cfg['md5password'] = md5($cfg['password']);}if (empty($cfg['type'])){ $cfg['type'] = PWD_MD5;}switch ($cfg['type']){case PWD_MD5 :return md5('zidingyixinxi'.$cfg['md5password']); //修改此处 zidingyixinxi这里任意填写case PWD_PRE_SALT :if (empty($cfg['salt'])){ $cfg['salt'] = '';}return md5($cfg['salt'] . $cfg['md5password']);case PWD_SUF_SALT :if (empty($cfg['salt'])){ $cfg['salt'] = '';}return md5($cfg['md5password'] . $cfg['salt']);default:return '';}}