01 May 11 [ecshop]ec后台index.php与ecshop官方通信的问题(api.ecshop.com)(偷窥网站信息)
[ecshop]ec后台index.php与ecshop官方通信的问题(api.ecshop.com)(偷窥网站信息!!!!)
大家注意了, ecshop系统后台index.php 行490 左右会与 api.ecshop.com 官方通信, 不看不知道, 一看吓一跳, 不专心检查版本, 居然将网站订单信息也发送给了ecshop官方!!!!!
主要代码:
$apiget = “ver= $ecs_version &lang= $ecs_lang &release= $ecs_release &php_ver= $php_ver &mysql_ver= $mysql_ver &ocount= $ocount &oamount= $oamount &gcount= $gcount &charset= $ecs_charset &usecount= $ecs_user &template= $ecs_template &style= $ecs_style &url= $shop_url &patch= $patch_file “;
结合上下文代码, 可以看到包括网站订单数、订单总金额与网站所使用的模板、网站网址等额外信息统统都被发送到了ecshop官方: api.ecshop.com , 这是很危险的!!!
解决办法: 将相关参数删除即可.
我们感谢ecshop开源免费供大家使用, ecshop官方这么做也无可厚非, 但对于我们未授权长期使用的用户来说, 网站的信息被他人统计这是个巨大的风险!!!
01 Dec 10 ecshop时间错误解决方案
又是ecshop时间错误,这次问题大条,因为需要写一个购买记录伪造程序,程序完工了,但发现不管怎么调,购买时间都是错误的。当然,从一开始就发现ECSHOP时间从来没正常过,。。。好吧,没办法,开始找原因。
首先 data/config.php 中的项 $timezone 设置为 PRC,问题依旧,查看了变量使用位置,在 includes/init.php中找到,确实使用了 date_default_timezone_set 函数进行了正确设置,那怎么还有问题?!shit。。
以为写的程序有问题,仔细检查了好几遍,另建了页面进行测试结果,包括最终写入到数据库中的购买时间戳再拿出来 date() ,完全正常啊?!!
继续检查购买记录调用程序,发现程序中用于格式化时间的函数为 local_date(),直觉告诉我,它很有问题。在 includes/lib_time.php 文件中找到该函数的定义,果然有问题,原来这玩意不是用了格式化时间的,函数说明写着 “将GMT时间戳格式化为用户自定义时区日期” ,函数主体:
(more…)
23 Dec 09 香港空间
香港空间, 是个好东西. 免备案, 国内外速度都很快, FTP上传下载速度也很OK, 是国内个人建站的不二之选. 价格上也贵不到哪去. 香港空间, good .
16 Dec 09 浅谈ecshop
因工作需要, 使用Ecshop建站. Shopex看上去不错, 不过是收费软件不开源, 对我们做SEO的来说, 这是个麻烦事, 因为可能根据需求需要改动程序. Ecshop名声在外, 虽然也不是完全免费, 至少开源没加密, 想改就能改, 那就试试吧. 一直都用 Zen Cart 整网站, 功能强大灵活就不用多说了. 初次使用 Ecshop, 老实说, 相当不习惯, 后台各种设置归类不是很合理 (至少我这么认为 -_- !). 继续找我要的关键的东东 -> URL重写. 还好, 很快就找到了设置, 打开它, 然后浏览网站, 问题显而易见, 导航栏这么重要的地方, 居然没重写 ! (再汗一个 -_-!) . 再来瞧瞧网页结构 -> 四个字, 乱七八糟 (囧 + -_- !) . 啊, 这可能跟模板有关系 -> 脚本乱放, 也不整理整理外链到一个 js 文件 ; 链接基本上都是相对链接, 看上去很容易被镜像 (囧 + -_- ! + 囧) . 再来看看插件. 在官网没找着插件下载链接 -_- ! . 不是吧,…. 搜一搜, 基本都要花钱买 ….
(more…)
