防止Discuz头像上传图片漏洞 删除部分代码一劳永逸方法
出现问题:
Discuz的上传头像本来是为了显示网友的多彩的头像,但是有人拿这个上传头像广告,有人上传图片木马注入服务器甚至挂黑。但是设置部分会员的权限当然可以,但是这种办法会有人用工具解析通过穷举办法,或者直接破解高级会员账号。
解决问题:
删除上传代码标签直接屏蔽掉。虽然不能上传头像,但是这种办法一劳永逸
位置在:template\default\home\spacecp_avatar.htm
删除31-39行
<tr>
<td>
<!--{if !empty($_GET['old'])}-->
<script type="text/javascript">document.write(AC_FL_RunContent('<!--{echo implode("','", $uc_avatarflash);}-->'));</script>
<!--{else}-->
<!--{template home/spacecp_avatar_body}-->
<!--{/if}-->
</td>
</tr>
删除 40-43行
<!--{if empty($_GET['old'])}-->
<a href="home.php?mod=spacecp&ac=avatar&old=1" class="xg1">{lang setting_my_new_avatar_old}</a>
<!--{/if}-->
修改后的结果 已经屏蔽了上传路径
如果不知道在那里删除提供了替换文件给你
下载地址:

来源:蓝奏网盘 | 提取码:c9rg
THE END
二维码
文章目录
关闭
共有 0 条评论