前言

由于现在魔方财务系统已经停止更新,但系统目前存在一个安全漏洞,如果对接产品访问api接口会显示上游购物车链接,参数 upstream_product_shopping_url

这个参数非常敏感,如果不及时修复,则会导致客户流向上游代理

API信息

api地址:[https://IDC域名/api/product/prodetail?pids[0]=产品pid](https://IDC域名/api/product/prodetail?pids[0]=产品pid)

输入相关信息之后,勾选上美观输出,找到

"upstream_product_shopping_url":

即是对接产品上游的购买链接

上游获取

修复方法

方法一:通过伪静态修复

如果使用的宝塔面板,只需在伪静态下方新增以下规则

subs_filter_types application/json text/json;
subs_filter '"upstream_product_shopping_url"\s*:\s*"[^"]*"' ""upstream_product_shopping_url":null" gri;

参数null可更换任意字符串,推荐Null,通过我发现大多自营产品均为Null

伪静态

完成

方法二:更改PHP文件

下载修复包:https://github.com/FuRuiORG/ZJMF-noupstream/archive/refs/heads/main.zip

解压该压缩包,将upstream_hide.php文件上传至安装目录

上传隐藏文件

随后将index.php上传至public目录下

上传index

最后在测试一下,参数和上一个一致

方法二由GitHub用户FurryAriaFurryAria提供,如有侵权请联系删除更改

最后修改:2026 年 04 月 12 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏