防止Discuz头像上传图片漏洞 删除部分代码一劳永逸方法

出现问题:

Discuz的上传头像本来是为了显示网友的多彩的头像,但是有人拿这个上传头像广告,有人上传图片木马注入服务器甚至挂黑。但是设置部分会员的权限当然可以,但是这种办法会有人用工具解析通过穷举办法,或者直接破解高级会员账号。

解决问题:

删除上传代码标签直接屏蔽掉。虽然不能上传头像,但是这种办法一劳永逸

位置在:template\default\home\spacecp_avatar.htm

删除31-39行

<tr>
<td>
<!--{if !empty($_GET['old'])}-->
<script type="text/javascript">document.write(AC_FL_RunContent('<!--{echo implode("','", $uc_avatarflash);}-->'));</script>
<!--{else}-->							
<!--{template home/spacecp_avatar_body}-->
<!--{/if}-->							
</td>
</tr>

 

删除 40-43行

<!--{if empty($_GET['old'])}-->
<a href="home.php?mod=spacecp&ac=avatar&old=1" class="xg1">{lang setting_my_new_avatar_old}</a>				
<!--{/if}-->

 

修改后的结果 已经屏蔽了上传路径

如果不知道在那里删除提供了替换文件给你

下载地址:

来源:蓝奏网盘 | 提取码:c9rg

 

版权声明:
作者:大鱼
链接:http://www.dayubk.top/273.html
来源:大鱼博客
文章版权归作者所有,未经允许请勿转载。
THE END
分享
二维码
< <上一篇
下一篇>>
文章目录
关闭
目 录