巴巴变相册插件 For 
Bo-blog掌上版预览
值此传统佳节,我先送上迟到的祝福。
这一段时间,blog程序的更新速度放慢了,是由各方面原因造成的。2.0.2正式版本发布,可能还需要一些时间。当然,alpha版本随时可能会更新。
本着信息公开的原则,我就近期的一些安全性问题做一个简要的说明:
1. 关于后台上传shell问题:
的确存在这一潜在问题。这是因为模块自动安装允许直接执行PHP造成的。但是前提是:你的密码泄露,或者在公共场所没有及时登出blog,让人进入了后台。
这个问题会修补,但不见得能完全杜绝。因为写日志的时候是可以“上传附件”的。要绝对防止的话,建议关闭附件上传,完全靠FTP上传文件。
2. 关于登入/注册伪造session提升管理权限:
首先,2.0.2以前的注册、登入均不涉及session(在验证码打开的情况下,仅写入session用于验证码,注册时不会写入session)。2.0.2以后,session仅仅是cookie认证的一个辅助(即,要让session发挥作用,必须先cookie登入),注册时仍然和session无关。综上,session的作用不大,也不可能提升权限。
以上两点我均是反复检查代码,并与BMForum的开发者msxcms、sablog的开发者angel多次讨论后得出的结论。如果有新的发现或者问题严峻程度有发展,我会及时发布补丁。
如果您发现了问题的原因或者有更多的消息,请告诉我,以便了却这个始终如刺哽喉般的问题。这比大家胡乱猜策,却仍摸不着头脑的做法更有帮助。
自然,疑者不用,也是您的权利。
这一段时间,blog程序的更新速度放慢了,是由各方面原因造成的。2.0.2正式版本发布,可能还需要一些时间。当然,alpha版本随时可能会更新。
本着信息公开的原则,我就近期的一些安全性问题做一个简要的说明:
1. 关于后台上传shell问题:
的确存在这一潜在问题。这是因为模块自动安装允许直接执行PHP造成的。但是前提是:你的密码泄露,或者在公共场所没有及时登出blog,让人进入了后台。
这个问题会修补,但不见得能完全杜绝。因为写日志的时候是可以“上传附件”的。要绝对防止的话,建议关闭附件上传,完全靠FTP上传文件。
2. 关于登入/注册伪造session提升管理权限:
首先,2.0.2以前的注册、登入均不涉及session(在验证码打开的情况下,仅写入session用于验证码,注册时不会写入session)。2.0.2以后,session仅仅是cookie认证的一个辅助(即,要让session发挥作用,必须先cookie登入),注册时仍然和session无关。综上,session的作用不大,也不可能提升权限。
以上两点我均是反复检查代码,并与BMForum的开发者msxcms、sablog的开发者angel多次讨论后得出的结论。如果有新的发现或者问题严峻程度有发展,我会及时发布补丁。
如果您发现了问题的原因或者有更多的消息,请告诉我,以便了却这个始终如刺哽喉般的问题。这比大家胡乱猜策,却仍摸不着头脑的做法更有帮助。
自然,疑者不用,也是您的权利。
//这话超级不负责
Warning: Unknown(F:\Vhost\WebRoot\lancelot23\www\read.php\test.htm): failed to open stream: No such file or directory in Unknown on line 0
Warning: Unknown(F:\Vhost\WebRoot\lancelot23\www\read.php\test.htm): failed to open stream: No such file or directory in Unknown on line 0
Warning: (null)(): Failed opening 'F:\Vhost\WebRoot\lancelot23\www\read.php\test.htm' for inclusion (include_path='.;D:\php\pear') in Unknown on line 0
请问这是如何造成的,又应该如何解决呢?先谢了
1. 后台关键字过滤可以加上正规表达式的功能吗?一下滤掉一批关键字。
2. 强烈建议在过滤关键字时,也检查留言者的主页,姓名等字段。现在因为没有过滤这些地方,所以很多广告都滤不掉。
敬请考虑。非常感谢。