Devil

你输入的搜索内容是什么？

> 啥都没有输入，这个是点击的banner 下面的第三个小广告。 好吧，你再试试看，我这边测试了很多次都没出现你这个问题 https://demo.shopxo.net/

> 安装的时候提示 Array and string offset access syntax with curly braces is deprecated php版本使用5.6~7.2合适

> 我下载并解压源代码到我本地的Ubuntu系统里,并且我安装了`PHP 7.2.19-0ubuntu0.18.04.2 (cli) (built: Aug 12 2019 19:34:28) ( NTS )`, 我通过在shopxo代码所在目录运行 `php -S 127.0.0.1:8001` 启动了一个本地服务,浏览器里访问 `http://127.0.0.1:8001/public/index.php?s=/install/index/index` 却遇到`Fatal error: Call to undefined function mb_substr()`,请我应该如何正确安装呢? > ...

可以使用shopxo推荐的宝塔面板搭建环境 https://shopxo.net/bt.html

> 'index.php?s=order/index'的模板文件解析后，这里有一个可控变量。 通过使用payload ，我们可以获得一个xss警报。但是它需要任何人登录，所以黑客可以在访问恶意链接时获取用户的cookie。 >  >  > `index.php?s=order&ids=">alert(1);` >  您好、非常感谢您的反馈，这个是新版本框架升级忘记开启参数验证了，前几天已在dev分支修复。

> No,No,No.This vulnerability still exists. You only use htmlspecialchars for `data_request`, and then url-decode `$params['ids']`, so we can bypass it using the second url encoding. > `?s=order&ids=%2522%253E%253Cscript%253Ealert(1)%3B%253C%2Fscript%253E` >  您好，非常感谢您的深度测试反馈，刚才已在...

> 点击后台，站点设置，网站搜索，搜索，扩展均报错。 源码和数据库使用对应版本就可以了，不要老版本直接使用新版本的源码覆盖，这样会因为新增的数据库结构不存在而导致报错

> _No description provided._ 暂时没计划

开源了的