Question

怎么去掉ecshop模板文件过滤php标签

Answer 1

最好不要在模板里面写php。会导致sql注入，引起后台账号泄露。
ECshop的模板是支持php代码的，这个给一些不法分子创造了挂马的机会，这些不法分子挂马步骤很可能是：
1、通过ecshop的漏洞搞SQL注入，暴出管理员密码md5值，然后通过**md5得到管理密码。（注:防止暴出管理密码md5值的方法是关闭display_errors，并且修改cls_mysql.php里的ErrorMsg函数，注释掉所有错误输出代码或把错误写入文件）
2、进入管理后台，通过模板管理－>库项目管理，编辑lbi文件，添加php代码，例如<?php @eval($_POST['lx']);?>
3、到这里，就完全控制这个站了，想挂什么马就挂什么马。
可见，ECshop的模板支持php代码这点是非常危险的，因此我们应该过滤模板里的所有php代码。

如果实在要去掉ecshop模板文件过滤php标签
修改 includes/cls_template.php

可以遵循以下步骤：
去掉第288-299行以下代码：
if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
{
$sp_match[1] = array_unique($sp_match[1]);
for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
{
$source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
}
for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
{
$source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
}
}
这样，模板里的php代码就被保留了。