Discuz 5.x/6.x/7.x投票SQL注入及解决办法

问题分析:

问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。

$pollarray['options'] = $polloption;
if($pollarray['options']) {
if(count($pollarray['options']) > $maxpolloptions) {
showmessage('post_poll_option_toomany');
}
foreach($pollarray['options'] as $key => $value) { //这里直接解析出来没处理$key
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
unset($pollarray['options'][$key]);
}
}

继续阅读Discuz 5.x/6.x/7.x投票SQL注入及解决办法

discuz网站转移注意事项

作为草根站长,为了控制成本,更换服务器,给网站搬家是常有的事,这是很痛苦的事!每次更换服务器都要修改网站的配置文件,还要重新调试网站的所有功能。短则折腾个把小时,长则折腾好几天!这里简单说下discuz网站转移的注意事项。

做论坛的朋友应该比较熟悉discuz建站系统,这是个不错的论坛系统,现在已经是腾讯旗下的产品。而且,discuz网站转移相对比较简单,不需要向wordpress那样需要修改数据库中的数据。转移时,一般只需要修改下数据库的配置文件。不过,不少朋友老是漏掉几个配置文件,所以,在这里简单提一提。

discuz的数据库配置文件有:安装目录/config/config_global.php、安装目录/config/config_ucenter.php和安装目录/uc_server/data/config.inc.php (易遗漏)。把这三个文件里的数据库名、数据库用户名和密码修改为新主机的信息,config_ucenter.ph还需要修改下“UCenter 数据库表前缀”。

总得来说,discuz网站搬家还是比较简单的~