昨天测试了一套淘宝客源码，名字叫做：卷皮高佣金内部淘宝优惠券淘宝客自动采集V7.0源码,24小时无人值守采集+华丽手机版。原出处应该是锦尚中国商业源码论坛欧阳锋版主发布的源码。虽然源码看着很强大，虽然这个论坛技术看着很牛，但是我还是不放心，因为之前下载的一个VIP源码就赤裸裸的放上了后门程序（详见《ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情》）。

很遗憾，经过测试，发现手机端自动生成的淘口令是别人的推广代码，并不是自己的。就算修改了后台的App Key、App Secret，清理缓存等，生成的淘口令仍然是如下这个人的（v***2）：

怎么回事呢？查看代码，发现生成这段淘口令的只有这句“长按复制框内整段文字，打开👉手淘👈即可「领取优惠券」并购买{$item.tb_code}”，而搜索item.tb_code竟然找不到调用的参数代码（而核心的首页index.php很牛逼的加密，很可疑）。

除非能解密，否则永远不知道这段淘口令是怎么生成的，到底是谁的推广代码。用排除法就可以确定，跟那个版主发布的源码脱不了干系。（更新：经测试，首页index.php可以替换为以下代码，不影响网站访问，但是淘口令问题没解决）

<?php
if (!is_file('./data/install.lock')) {
    header('Location: ./install.php');
    exit;
}
require("./data/config/version.php");

define('APP_NAME', 'app');
define('APP_PATH', './app/');
define('FTX_DATA_PATH', './data/');
define('EXTEND_PATH',	APP_PATH . 'Extend/');
define('CONF_PATH',		FTX_DATA_PATH . 'config/');
define('RUNTIME_PATH',	FTX_DATA_PATH . 'runtime/');
define('HTML_PATH',		FTX_DATA_PATH . 'html/');

define('APP_DEBUG', false);
require("./thinkphp/setup.php");

怎么排除的呢？首先，搜索首发的标题“卷皮高佣金内部淘宝优惠券淘宝客自动采集V7.0源码,24小时无人值守采集+华丽手机版”，会看到很多论坛、博客网站等都有一样的文章帖子，但是大部分是收费、需要积分、充值vip什么的（PS：拿别人的东西来卖，真的有那么缺钱吗？），好不容易用谷歌搜到了个免费下载的juanpi.zip，看压缩包注释，是源自【不错吧】（但是打开那个网站竟然没有找到原帖，难道删除了？）。等上传程序，测试的时候，发现没有授权文件，跳转到锦尚中国网站，看来这些源码都是从这个论坛流出的。于是弄了个授权文件（其实就是个论坛快捷方式），可以测试了。

然后呢，后台设置什么的全部改成自己的之后，发现手机端的淘口令出现了问题。再测试一下这个论坛的演示地址（请查看原帖），手机页面的淘口令，打开的是同一个人的推广代码。看来问题就在这了。至于是版主自己加上去的还是破解的时候忽视了这个细节，不得而知。

通过手机页面模板代码，发现很多js、css文件都是跨站调用的，如下图所示：

红框处的调用很可疑，打开发现源文件已经没有了，自动跳转到一个网站，而网站顶部的广告，竟然指向另一个分享源码的论坛：淘白菜淘宝客源码。难道这才是所有相似源码的最原始出处？再测试下他的演示站手机淘口令，发现并不是上面那个人的，说明什么呢？

经过测试后更新：下载了淘白菜淘宝客源码安装后，发现锦尚中国论坛分享的卷皮高佣金内部淘宝优惠券淘宝客自动采集V7.0源码，就是从淘白菜淘宝客源码论坛原帖《华美7.0至尊版域名授权破解，前台修改了下，后台功能完整》修改而来的，并且经过安装测试后，发现原版的源码没有出现淘口令劫持现象。看来，二次修改的这个人不地道啊，做了手脚……最后本博主可以确定地说，锦尚中国论坛某版主分享的源码是修改自淘白菜论坛，并且做了手脚劫持淘口令。

淘宝客，水很深，处处是陷阱，千万要仔细，不要白忙活为别人做嫁衣！

继续阅读：淘宝  淘宝客  代码  

原创文章请注明转载自光的传人博客本文地址：http://www.liu16.com/post/juanpi.html，标题：【请注意】卷皮高佣金内部淘宝优惠券淘宝客自动采集V7.0源码,24小时无人值守采集+华丽手机版