防止Discuz头像上传图片漏洞 删除部分代码一劳永逸方法

出现问题：

Discuz的上传头像本来是为了显示网友的多彩的头像，但是有人拿这个上传头像广告，有人上传图片木马注入服务器甚至挂黑。但是设置部分会员的权限当然可以，但是这种办法会有人用工具解析通过穷举办法，或者直接破解高级会员账号。

解决问题：

删除上传代码标签直接屏蔽掉。虽然不能上传头像，但是这种办法一劳永逸

位置在：template\default\home\spacecp_avatar.htm

删除31-39行

<tr>
<td>
<!--{if !empty($_GET['old'])}-->
<script type="text/javascript">document.write(AC_FL_RunContent('<!--{echo implode("','", $uc_avatarflash);}-->'));</script>
<!--{else}-->							
<!--{template home/spacecp_avatar_body}-->
<!--{/if}-->							
</td>
</tr>

删除 40-43行

<!--{if empty($_GET['old'])}-->
<a href="home.php?mod=spacecp&ac=avatar&old=1" class="xg1">{lang setting_my_new_avatar_old}</a>				
<!--{/if}-->

修改后的结果 已经屏蔽了上传路径

如果不知道在那里删除提供了替换文件给你

下载地址：

资源文件下载

来源：蓝奏网盘 | 提取码：c9rg

立即下载