本帖最后由 foolant 于 2009-12-5 18:42 编辑
如果你下载的YOHO模板的文件夹中包含以下3个文件,需要立即删除或清空其内容:
DB.class.php
允许站外调用数据库!
DB.class.php包含极不规范的UChome代码, 文件开始并没有限定 if(!defined('IN_UCHOME')exit; 在任何地方通过地址栏将可以马上清空你的数据库!
source/function_cach.php
文件名模仿function_cache.php(系统缓存文件),包含登录代码, 但uchome 默认并不包含此文件,也没有任何文件引用到它(包括所有YOHO所附带的文件),一个文件名都仿造系统文件却从没有被引用过的文件却包含登录代码,这是要干嘛?
source/magic_viewmagi.php
文件名同样仿造系统文件magic_viewmagic.php(道具列表文件), 此文件已被加密,同样没有任何文件调用过它.
此为一级警告, 本人在转换修改YOHO风格时有以上发现, 使用YOHO的站长已经有被清空数据库的事情发生,如果你也是用的是YOHO的各个版本,不妨先将以上文件移出uchome文件夹看看有无异常以防被不良分子入侵!!
同时建议所有喜欢摆弄模板的弟兄们:模板是系统基础文件,其地位特殊, 任何包含加密文件的模板都存在严重安全隐患,安装之前请务必慎重考虑,三思而后行!!快速的检查办法是用Emeditor这样可以批量打开批量保存(菜单里面有,改一下配置可以用来转代码,非常快而且绝不会转错)的程序打开所有文本文件保存一次,如果包含二进制文件程序会提示你.
注意: 因为 YOHO 用户目前非常的多, 如果使用的是原版YOHO,直接删除DB.class.php 打开首页时会出现空白(PHP运行时错误) 请参考 本贴第二页15楼 爱③无悔 提供的修改方案.不再另行解答.
修改方案网址(感谢 爱③无悔): https://discuz.dismall.com/viewthread.php?tid=1483500&page=2#pid12461414
YOHO 其余文件的编写相当规范, 并未发现其他安全漏洞, 请放心使用.
|
[复制链接]
置顶卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主