记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

phpshe不花钱直接完成订单支付

2013-08-08 15:41
官网提交订单总是失败,所以只能本地测试
 
漏洞代码位置
 
module\index\order.php 行 73
 
 
 

$_p_info['order_productmoney'] = $money['order_productmoney'];

$_p_info['order_wlmoney'] = $money['order_wlmoney'];

$_p_info['order_money'] = $money['order_money'];

$_p_info['order_atime'] = time();

$_p_info['user_id'] = $_s_user_id;

$_p_info['user_name'] = $_s_user_name;

$_p_info['user_address'] = "{$_p_province}{$_p_city}{$_p_info['user_address']}";

if ($order_id = $db->pe_insert('order', $_p_info)) {

....省略

}

 

 
 
由于注册了全局变量所以。。
 
$_p_info= $_POST['info'];
 
所以修改订单提交的表单直接 info['order_sate'] 值=paid
 
 
 
然后 看证明
 
下单的时候修改表单
 
 
 
跳转到支付页面出错(因为已经支付过了 所以出错)
 
 
 
后台看一下,管理员给我发货了!
 
 


 
修复方案:
解决方法 初始化不需要用户输入的数据!
知识来源: www.2cto.com/Article/201308/234415.html

阅读:79635 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“phpshe不花钱直接完成订单支付”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云