ecshop最新SQL注入漏洞，在阿里云服务器的时候提示。出现在后台管理，涉及到的文件有 includes/modules/payment/alipay.php，api/client/includes/lib_api.php，admin/edit_languages.php 注入漏洞，影响到所有包括ecshop，大小京东，大小商创程序以ecshop为内核的程序，到目前为止，ecshop官网还未做修复。

1.alipay.php 修复方法(约180行)
查找

$order_sn = trim($order_sn);

修改为：

$order_sn = trim(addslashes($order_sn));

2. lib_api.php 修复方法(约247行)
查找

function API_UserLogin($post)
{

修改为

function API_UserLogin($post)
{ if (get_magic_quotes_gpc()) { $post['UserId'] = $post['UserId'] } else { $post['UserId'] = addslashes($post['UserId']); }

注意位置，别改错了。


3. admin/edit_languages.php修复方法(大概在第120行)
查找

$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';

修改为：

$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';//双引号改为单引号