Có một loạt các thay đổi bạn cần thực hiện ngoài việc chạy bản vá.
Tôi đã sử dụng bản vá 1.9.1.1 làm ví dụ ở đây, nhưng thật đáng buồn, các bản vá khác nhau tùy thuộc vào việc phát hành.
Tệp mẫu tùy chỉnh
Nếu bạn đã sửa đổi hoặc ghi đè base/default
mẫu bằng gói / thiết kế của riêng bạn, thì bạn sẽ cần phải áp dụng các bản vá theo cách thủ công khi cần thiết cho các điều sau đây.
Trong app/design/frontend/base/default/template/checkout/cart.phtml
,
- <button type="button" title="<?php echo $this->__('Continue Shopping') ?>" class="button btn-continue" onclick="setLocation('<?php echo $this->getContinueShoppingUrl() ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>
+ <button type="button" title="<?php echo Mage::helper('core')->quoteEscape($this->__('Continue Shopping')) ?>" class="button btn-continue" onclick="setLocation('<?php echo Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl()) ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>
Trong app/design/frontend/base/default/template/checkout/cart/noItems.phtml
,
- <p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', $this->getContinueShoppingUrl()) ?></p>
+ <p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl())) ?></p>
Trong app/design/frontend/base/default/template/checkout/onepage/failure.phtml
-<p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', $this->getContinueShoppingUrl()) ?></p>
+<p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl())) ?></p>
Trong app/design/frontend/base/default/template/rss/order/details.phtml
,
- <?php echo $this->__('Customer Name: %s', $_order->getCustomerFirstname()?$_order->getCustomerName():$_order->getBillingAddress()->getName()) ?><br />
- <?php echo $this->__('Purchased From: %s', $_order->getStore()->getGroup()->getName()) ?><br />
+ <?php $customerName = $_order->getCustomerFirstname() ? $_order->getCustomerName() : $_order->getBillingAddress()->getName(); ?>
+ <?php echo $this->__('Customer Name: %s', Mage::helper('core')->escapeHtml($customerName)) ?><br />
+ <?php echo $this->__('Purchased From: %s', Mage::helper('core')->escapeHtml($_order->getStore()->getGroup()->getName())) ?><br />
Trong app/design/frontend/base/default/template/wishlist/email/rss.phtml
,
- <?php echo $this->__("RSS link to %s's wishlist",$this->helper('wishlist')->getCustomerName()) ?>
+ <?php echo $this->__("RSS link to %s's wishlist", Mage::helper('core')->escapeHtml($this->helper('wishlist')->getCustomerName())) ?>
Trong app/design/frontend/default/modern/template/checkout/cart.phtml
,
- <button type="button" title="<?php echo $this->__('Continue Shopping') ?>" class="button btn-continue" onclick="setLocation('<?php echo $this->getContinueShoppingUrl() ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>
+ <button type="button" title="<?php echo Mage::helper('core')->quoteEscape($this->__('Continue Shopping')) ?>" class="button btn-continue" onclick="setLocation('<?php echo Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl()) ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>
.htaccess
quy tắc
Nếu bạn không sử dụng .htaccess
máy chủ web tương thích , thì bạn cần thêm thủ công các quy tắc từ chối sau đây.
Đối với Nginx ,
location /downloader/Maged/ { deny all; }
location /downloader/lib/ { deny all; }
Quyền truy cập tệp
Nếu người dùng máy chủ web của bạn xử lý PHP không phải là chủ sở hữu của tài liệu gốc và phụ thuộc vào quyền của nhóm và var/report
hoặc var/log
thư mục bị xóa - bạn sẽ gặp phải sự cố với quyền truy cập tệp mặc định mới.
Ví dụ. Trong kịch bản sau đây,
PHP User: www-data
Doc Root User: sonassi
Doc Root Group: www-data
www-data members: sonassi, www-data
Các quyền tệp mặc định được sửa đổi của 0750
, sẽ loại bỏ quyền ghi từ nhóm - điều này sẽ cấm máy chủ web của bạn không thể ghi vào thư mục.
Tương tự, nếu bạn dựa vào sự everyone
cho phép, tất cả quyền truy cập sẽ bị tước.