Áp dụng PATCH_SUPEE-6285 - Tôi có cần phải làm gì khác không?


7

Sau khi được nhắc cài đặt bản vá mới, tôi tiếp tục và thực hiện ngay.

Nhưng bây giờ tôi đã quay lại và xem tệp .sh tôi nhận thấy có những thay đổi được thực hiện đối với các tệp mẫu.

Tôi đã có một chủ đề tùy chỉnh và tôi cũng có một tiện ích mở rộng kiểm tra onestep được cài đặt trên trang web của mình, tôi có cần phải áp dụng bản vá cho những người nào đó hay tôi không cần phải lo lắng?


Có vẻ như ACL đã bị hỏng với bản vá này, người dùng thấp hơn không thể làm việc trong quản trị viên nữa với một số tiện ích mở rộng của bên thứ 3 :)

Câu trả lời:


14

Có một loạt các thay đổi bạn cần thực hiện ngoài việc chạy bản vá.

Tôi đã sử dụng bản vá 1.9.1.1 làm ví dụ ở đây, nhưng thật đáng buồn, các bản vá khác nhau tùy thuộc vào việc phát hành.


Tệp mẫu tùy chỉnh

Nếu bạn đã sửa đổi hoặc ghi đè base/defaultmẫu bằng gói / thiết kế của riêng bạn, thì bạn sẽ cần phải áp dụng các bản vá theo cách thủ công khi cần thiết cho các điều sau đây.

Trong app/design/frontend/base/default/template/checkout/cart.phtml,

- <button type="button" title="<?php echo $this->__('Continue Shopping') ?>" class="button btn-continue" onclick="setLocation('<?php echo $this->getContinueShoppingUrl() ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>
+ <button type="button" title="<?php echo Mage::helper('core')->quoteEscape($this->__('Continue Shopping')) ?>" class="button btn-continue" onclick="setLocation('<?php echo Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl()) ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>

Trong app/design/frontend/base/default/template/checkout/cart/noItems.phtml,

- <p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', $this->getContinueShoppingUrl()) ?></p>
+ <p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl())) ?></p>

Trong app/design/frontend/base/default/template/checkout/onepage/failure.phtml

-<p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', $this->getContinueShoppingUrl()) ?></p>
+<p><?php echo $this->__('Click <a href="%s">here</a> to continue shopping.', Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl())) ?></p>

Trong app/design/frontend/base/default/template/rss/order/details.phtml,

- <?php echo $this->__('Customer Name: %s', $_order->getCustomerFirstname()?$_order->getCustomerName():$_order->getBillingAddress()->getName()) ?><br />
- <?php echo $this->__('Purchased From: %s', $_order->getStore()->getGroup()->getName()) ?><br />
+ <?php $customerName = $_order->getCustomerFirstname() ? $_order->getCustomerName() : $_order->getBillingAddress()->getName(); ?>
+ <?php echo $this->__('Customer Name: %s', Mage::helper('core')->escapeHtml($customerName)) ?><br />
+ <?php echo $this->__('Purchased From: %s', Mage::helper('core')->escapeHtml($_order->getStore()->getGroup()->getName())) ?><br />

Trong app/design/frontend/base/default/template/wishlist/email/rss.phtml,

- <?php echo $this->__("RSS link to %s's wishlist",$this->helper('wishlist')->getCustomerName()) ?>
+ <?php echo $this->__("RSS link to %s's wishlist", Mage::helper('core')->escapeHtml($this->helper('wishlist')->getCustomerName())) ?>

Trong app/design/frontend/default/modern/template/checkout/cart.phtml,

- <button type="button" title="<?php echo $this->__('Continue Shopping') ?>" class="button btn-continue" onclick="setLocation('<?php echo $this->getContinueShoppingUrl() ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>
+ <button type="button" title="<?php echo Mage::helper('core')->quoteEscape($this->__('Continue Shopping')) ?>" class="button btn-continue" onclick="setLocation('<?php echo Mage::helper('core')->quoteEscape($this->getContinueShoppingUrl()) ?>')"><span><span><?php echo $this->__('Continue Shopping') ?></span></span></button>

.htaccess quy tắc

Nếu bạn không sử dụng .htaccessmáy chủ web tương thích , thì bạn cần thêm thủ công các quy tắc từ chối sau đây.

Đối với Nginx ,

location /downloader/Maged/ { deny all; }
location /downloader/lib/   { deny all; }

Quyền truy cập tệp

Nếu người dùng máy chủ web của bạn xử lý PHP không phải là chủ sở hữu của tài liệu gốc và phụ thuộc vào quyền của nhóm và var/reporthoặc var/logthư mục bị xóa - bạn sẽ gặp phải sự cố với quyền truy cập tệp mặc định mới.

Ví dụ. Trong kịch bản sau đây,

PHP User:        www-data
Doc Root User:   sonassi
Doc Root Group:  www-data
www-data members: sonassi, www-data

Các quyền tệp mặc định được sửa đổi của 0750, sẽ loại bỏ quyền ghi từ nhóm - điều này sẽ cấm máy chủ web của bạn không thể ghi vào thư mục.

Tương tự, nếu bạn dựa vào sự everyonecho phép, tất cả quyền truy cập sẽ bị tước.


Có vẻ như tập tin duy nhất tôi cần thay đổi là cart.phtml. Tất cả những cái khác không tồn tại trong các tệp mẫu chủ đề của tôi vì vậy chúng nên sử dụng các tệp mặc định đã được vá. Máy chủ của tôi không sử dụng .htaccess nên mọi thứ đều tốt. Và tôi sẽ phải xem về các quyền của tập tin, không chắc chắn về điều đó
joseph drury

Tại sao có trích dẫn xung quanh chuỗi "tiếp tục mua sắm"? được thêm vào bởi lỗi (ý tôi là bởi họ, tôi thấy nó tồn tại trong bản vá) nhưng các chuỗi khác không được bao quanh cùng.
Dấu chấm phẩy đáng sợ

3

Nhìn vào những thay đổi đã được thực hiện cho các tệp mẫu. Nếu chủ đề tùy chỉnh của bạn chứa các mẫu này (rất có thể với cart.phtmlmẫu), bạn phải áp dụng các thay đổi tương tự theo cách thủ công trong các mẫu của chủ đề.


Tôi đã kiểm tra các tệp mở rộng thanh toán và cấu trúc tệp của nó là như thế này. ứng dụng \ design \ frontend \ base \ default \ template \ onestepcheckout. Trong khi đó, các bản vá thay đổi các tập tin trong ứng dụng / thiết kế / frontend / base / default / template / kiểm tra / Vì vậy, các tập tin như cart.phtml và noItems.phtml và failure.phtml không tồn tại trong phần mở rộng của tôi
joseph Drury

Tiện ích mở rộng thanh toán thường không thay đổi mẫu giỏ hàng, vì vậy không sao. Nhưng điều quan trọng là bạn kiểm tra xem chủ đề của bạn có ghi đè các mẫu này không. Nếu không, những người từ cơ sở / mặc định được sử dụng và mọi thứ đều ổn
Fabian Schmengler

Vâng, chủ đề của tôi không ghi đè mặc định tôi nghĩ. ứng dụng \ design \ frontend \ ultimo \ default \ template \ checkout \ cart.phtml
joseph drury
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.