ecshop修饰符preg_replace/e不安全的几处改动

创建时间：2015-07-22 投稿人：浏览次数：213

主要集中在 upload/includes/cls_template.php 文件中：
1：line 300 ：
原语句：
return preg_replace("/{([^}{ ]*)}/e", "$this->select("\1");", $source);
修改为：
return preg_replace_callback("/{([^}{ ]*)}/", function($r) { return $this->select($r[1]); }, $source);

2：line 495：
   原语句：
$out = "<?php " . "$k = " . preg_replace("/("\$[^,]+)/e" , "stripslashes(trim("\1","""));", var_export($t, true)) . "; ";
修改为：
$replacement = preg_replace_callback("/("\$[^,]+)/" ,
                      function($matcher){
                                return stripslashes(trim($matcher[1],"""));
                            },
                   var_export($t, true));
                      $out = "<?php " . "$k = " . $replacement . "; ";

3：line 554： //zuimoban.com 转载不带网址，木JJ

   原语句：
   $val = preg_replace("/[([^[]]*)]/eis", "".".str_replace("$","$","\1")", $val);

    修改为：
    $val = preg_replace_callback("/[([^[]]*)]/is",
                    function ($matcher) {
                        return ".".str_replace("$","$",$matcher[1]);
                    },
     $val);

4：line 1071：

原语句：
    $replacement = ""{include file=".strtolower("\1"). "}"";
    $source      = preg_replace($pattern, $replacement, $source);

    修改为：
    $source      = preg_replace_callback($pattern,
                    function ($matcher) {
                        return "{include file=" . strtolower($matcher[1]). "}";
                    },

$source);

原文地址：http://www.moke8.com/article-10688-1.html

声明：该文观点仅代表作者本人，牛骨文系教育信息发布平台，牛骨文仅提供信息存储空间服务。

上一篇： Shell中获取单个文件大小
下一篇： MySQL里实现类似SPLIT的分割字符串的函数

热门文章: CTF writeup 2_南邮网络攻防训...; SSM框架——详细整合教程（...; Linux Shell脚本编程－－curl命...; HttpClient使用详解; Java面试题全集（上）; JAVA设计模式之单例模式; java.lang.OutOfMemoryError: PermGen ...; TCP协议中的三次握手和四次...; form表单的两种提交方式，su...; String,StringBuffer与StringBuilder...

最新文章: Java之品优购课程讲义_day20（7）; 剑指 Offer - 8：跳台阶; Netty权威指南_札记02_NIO编程; mysql时间属性之时间戳和datetime之...; 虚拟现实或许可以拯救古埃及的“...; spring cloud服务注册中心eureka---集群...; Java SE 第六章; HTTP请求+数据库; HIDL学习笔记之HIDL C++（第二天）; ubuntu系统下指定tomcat运行时为JDK1.8...