为什么都说 ecshop 在安全上有很多问题？

初级阶段
1.服务器安全先要做好，不然其他都是白费
2.对每个用户能输入的数据点进行检查和过滤。
3.放程序的目录不要设置可写，放上传文件的位置设置禁止执行 php ，禁止输出 php 错误信息

中级阶段
4.阅读并按照安全需求修改 php 的源代码，比如识别 php 文件信息的时候，不用<?或<?php 来识别，换成其他的，这样就算别人上传了 php 文件，你的 php 也不认识它，自然也就执行不了了。
5.阅读并按照安全需求修改 MYSQL 之类要用到的数据库，把指令名称全改掉，这样别人也没办法注入了，因为无法识别了！
6.阅读并理解 php 和 mysql 以及 apache/nginx 的源代码，修复所有代码中的漏洞。

高级阶段
7.阅读系统源代码，对所有漏洞进行发掘和修复，并修改可执行文件的系统 api 名称和格式，这样就算你服务器被人上传了 exe 文件，仍然是无法执行的，因为系统也识别不了了。
8.点击右上角的感谢功能，走上人生巅峰，迎娶高富帅。

@yeyeye
不用<?或<?php 来识别

这样 IDE 不就挂了。。

@orFish 用的时候（自动）替换一下关键词，都达到修改 PHP 自身的程度了，搞个自动替换关键词想必不在话下