ecshop常见漏洞

ecshop存在一个盲注漏洞，问题存在于/api/client/api.php文件中，提交特制的恶意POST请求可进行SQL注入攻击，可获得敏感信息或操作数据库；跨站攻击；ECSHOP的配送地址页面网页没有验证地区参数的有效性，存在sql注入漏洞；ecshop的后台编辑文件/admin/affiliate_ck.php中，对输入参数auid未进行正确类型转义，导致整型注入的发生；ecshop的后台编辑文件/admin/shophelp.php中shopinfo.php，对输入参数$_POST['id']未进行正确类型转义，导致整型注入的发生；ecshop的/admin/comment_manage.php中，对输入参数sort_by