11月4日版のhtml/shopping/payment.phpを修正し、
確かに購入できなくなる不具合が発生しました。
（不正なページ移動）

そこで11月10日版のhtml/shopping/payment.phpを修正したところ、一応購入できるようになっていたように見えましたが、ポイント使用時にエラーが発生してしまうバグがあるようです。
（同じ画面が表示され、ポイントのところには「使用ポイントが購入金額を超えています」のようなコメントが出る）

11月4日修正以前のファイルに戻すと正常動作。

そもそも、11月4日時点では「お支払情報入力ページでのSQLインジェクション 」は「対象:Ver 1.4.8以前」となっていたのに、 11月10日には対象「EC-CUBE1.4.8以降」となっており、対象バージョンも曖昧な感じです。

ちなみに当方では、1.3.2と1.3.4と1.4.8と複数のサイト、３種類のバージョンで同じ不具合を確認できたので、全サイトで11月4日、11月10日の修正項目を書き換えた状態です。

脆弱性に関するものだったので、即対応したのですが他の方は不具合起こってないのでしょうか。

引用：


僕もその修正内容を反映させた 1.4.2-betaベースのサイトで確認してみましたが、ポイント使用に際して特にエラーは発生しませんでした。わざと商品代金よりも多くポイントを使おうとすると、当然「※ ご利用ポイントがご購入金額を超えています。」と出ました。もう少し確認してみます。


引用：

SQLインジェクションの修正はリリース前のすべてのEC-CUBEが対象でしたが、今回はSQLインジェクションの修正部分に不具合（セキュリティ的な不具合ではありません）をが残ったままリリースした1.4.8がターゲットになるので、そのような表記にしたのだと思います。確かに、SQLインジェクションの修正をしていれば、どのバージョンでも対象になりますけれど

----------------
このコミュニティでの投稿はボランティアの範囲に留めさせていただいています。個別の相談やカスタマイズは有償にて承っておりますのでご相談下さい。

[url=http://www.eccube-school.jp/]EC-CUBE

今確認したところ、11月10日版のページからダウンロードしたpayment.phpでは不具合は起こらないようで、ページに掲載している修正箇所と提供されているファイルに違いがあるのかもしれません。

当方の一部サイトでpayment.phpをカスタマイズしていたので、そのままのファイルを使用しなかったのが原因でした。

ダウンロードしたファイルに自分がカスタマイズした箇所を追加することで問題解決しました。
（両ファイルを比較するより自分で書いた部分を追加するほうが簡単だったので、すいません。）

>homan様
早速の調査、ありがとうございました。
「EC-CUBEの学校」すばらしいですね。
同業ながら、私はまだまだです。お恥ずかしい限りです。

＞JUN様
解決されたようでよかったです！
EC-CUBEの学校はまだ記事も少ないですが、少しずつ充実化させていきたいと思います。

僕もEC-CUBEの隅から隅まで分かっているわけではないので、日々勉強です。一緒に頑張りましょう！

----------------
このコミュニティでの投稿はボランティアの範囲に留めさせていただいています。個別の相談やカスタマイズは有償にて承っておりますのでご相談下さい。

[url=http://www.eccube-school.jp/]EC-CUBE