Opencart注入攻击

Question

我在opencar的日志( error.log )上发现了这个错误

2017-04-11 13:42:42- PHP警告: /home/xxxx/domains/xxxx.com/public_html/system/modification/system/engine/action.php ()希望参数1是一个有效路径，在第172017-04-11 13:42:45行中给出的字符串: is_file()希望参数1是一个有效路径，在第27行的/home/xxxx/domains/xxx.com/public_html/system/modification/system/engine/action.php中给出字符串。

我不知道如何防止它，但是当我看到这样的代码时：

$file = DIR_APPLICATION . 'controller/' . str_replace(array('../', '..\\', '..'), '', $path) . '.php';
if (is_file($file)) {
    $this->file = $file;

    $this->class = 'Controller' . preg_replace('/[^a-zA-Z0-9]/', '', $path);

    array_shift($parts);

    break;
}

我感觉有人注入ftp路径，所以opencart返回错误。

有人能告诉我怎么预防吗?？

Answer 1

你为什么这么叫控制器？您可以轻松地加载控制器与OpenCart的框架，这使您能够加载您的网站内容通过自定义控制器，这是关于页眉或页脚。

控制器中的示例：

$data['header'] = $this->load->controller('common/header');

在$data变量的上方是发送变量whitch，并设置输出(视图)。您可以将其作为'$header‘在视图中回显。

回波示例：

<?=$header?>