推荐应用

蔬菜水果酒水同城批发销售配送系统
蔬菜水果酒水同城批发销售配送系统
 JAVA版外贸独立电子商务系统APP
JAVA版外贸独立电子商务系统APP
 链动2+1&城市区域代理全开源无加密
链动2+1&城市区域代理全开源无加密
 无人自助棋牌/桌球系统
无人自助棋牌/桌球系统
全部
常见问题
产品动态
精选推荐

讲师申请在提交的姓名、地址等处存在存储型xss漏洞

管理 管理 编辑 删除
知识付费 v 2.1 2025-01-14 16:51:25
其他

原因说明:前台申请讲师功能点存在存储型xss漏洞,攻击者可以获取管理员登录cookie,进行劫持钓鱼等危害

51a5b202501141649012299.png

修改文件:app\wap\model\merchant\UserEnter

修改方法:setUserEnter()

    public static function setUserEnter($data, $uid)
    {
        $data['address'] = strip_tags($data['address']);
        $data['merchant_name'] = strip_tags($data['merchant_name']);
        $data['explain'] = strip_tags($data['explain']);
        $data['introduction'] = strip_tags($data['introduction']);
        $data['charter'] = json_encode($data['charter']);
        $data['label'] = json_encode($data['label']);
        if (self::be(['uid' => $uid])) {
            $data['status'] = 0;
            return self::edit($data, $uid, 'uid');
        } else {
            if (self::be(['link_tel' => $data['link_tel']])) return self::setErrorInfo('该手机号已使用,不可重复使用!');
            $data['uid'] = $uid;
            $data['add_time'] = time();
            return self::set($data);
        }
    }


修改文件:app\web\model\merchant\UserEnter

修改方法:setUserEnter()

    public static function setUserEnter($data, $uid)
    {
        $data['address'] = strip_tags($data['address']);
        $data['merchant_name'] = strip_tags($data['merchant_name']);
        $data['explain'] = strip_tags($data['explain']);
        $data['introduction'] = strip_tags($data['introduction']);
        $data['charter'] = json_encode($data['charter']);
        $data['label'] = json_encode($data['label']);
        if (self::be(['uid' => $uid])) {
            $data['status'] = 0;
            return self::edit($data, $uid, 'uid');
        } else {
            if (self::be(['link_tel' => $data['link_tel']])) return self::setErrorInfo('该手机号已使用,不可重复使用!');
            $data['uid'] = $uid;
            $data['add_time'] = time();
            return self::set($data);
        }
    }


请登录后查看

BUG修复 常见问题 知识付费

全 最后编辑于2025-01-14 16:51:25

快捷回复
回复
回复
回复({{post_count}}) {{!is_user ? '我的回复' :'全部回复'}}
排序 默认正序 回复倒序 点赞倒序

{{item.user_info.nickname ? item.user_info.nickname : item.user_name}} LV.{{ item.user_info.bbs_level }}

作者 管理员 企业

{{item.floor}}# 同步到gitee 已同步到gitee {{item.is_suggest == 1? '取消推荐': '推荐'}}
{{item.is_suggest == 1? '取消推荐': '推荐'}}
沙发 板凳 地板 {{item.floor}}#
{{item.user_info.title || '暂无简介'}}
附件

{{itemf.name}}

下载
{{item.created_at}}  {{item.ip_address}}
{{item.like_count}}
{{item.showReply ? '取消回复' : '回复'}}
删除
回复
回复

{{itemc.user_info.nickname}}

{{itemc.user_name}}

回复 {{itemc.comment_user_info.nickname}}

附件

{{itemf.name}}

下载
{{itemc.created_at}}
{{itemc.like_count}}
{{itemc.showReply ? '取消回复' : '回复'}}
删除
回复
回复
查看更多
120
{{like_count}}
{{collect_count}}
添加回复 ({{post_count}})

相关推荐

多商户PC商城编辑地址,省区市街道未重新选择提交显示收货信息不能为空问题解决方法
3.9K
2023/05/17
求助:开源商城小程序 -- 在提交订单这里怎么跳过验证收货地址
532
2024/10/10
5.0订单选不同的收货人地址提交订单,用户表的真实姓名会随之更新
2.2K
2023/07/21
PC端商城 提交订单 不会显示地址
1.8K
2022/05/23
3.2.2小程序提交订单页。选配送完地址后跳回提交订单出现BUG
2.7K
2020/04/16
修改确认订单仅商城配送时地址id问题
45
2025/01/20
标准版v5.5申请分销员没填短信验证码直接能提交问题修复
326
2024/12/30
v5.5版本-管理后台-微信支付-设置V3-点击提交报错,怎样解决?
412
2024/12/23
Java单商户app打包后收货地址使用高德地图选择收货地址后一直转圈
478
2024/11/29
Java多商户app打包后收货地址高德地图选择地址一直转圈
449
2024/11/29

推荐应用

蔬菜水果酒水同城批发销售配送系统
蔬菜水果酒水同城批发销售配送系统
 JAVA版外贸独立电子商务系统APP
JAVA版外贸独立电子商务系统APP
 链动2+1&城市区域代理全开源无加密
链动2+1&城市区域代理全开源无加密
 无人自助棋牌/桌球系统
无人自助棋牌/桌球系统
热门文章
推荐板块

快速安全登录

使用微信扫码登录
{{item.label}} 加精
{{item.label}} {{item.label}} 板块推荐 常见问题 产品动态 精选推荐 首页头条 首页动态 首页推荐
取 消 确 定
回复
回复
问题:
问题自动获取的帖子内容,不准确时需要手动修改. [获取答案]
答案:
提交
 bug 需求 取 消 确 定

微信登录/注册

切换手机号登录

{{ bind_phone ? '绑定手机' : '手机登录'}}

{{codeText}}
切换微信登录/注册
暂不绑定
CRMEB客服

CRMEB咨询热线 咨询热线

400-8888-794

微信扫码咨询

CRMEB开源商城下载 源码下载 CRMEB帮助文档 帮助文档
返回顶部 返回顶部
CRMEB客服