危险!YOHO模板用户请即刻清除3个文件!!

自己每个文件检查一下代码，稍微学点代码知道就能杜绝这个问题

谢谢分享经验， 但是我还是想用yoho模板啊！！    该怎么修改才能保证安全呢？ 楼主出来指导一下大家吧，

帮人帮到底啊！！ 谢谢。

很感谢，非常不错！

把首页这段代码删了就不是空白了,index.php?

13# admin-king

1. include_once 'DB.class.php';
   
2. 
   
3. $db = new DBAccess();
   
4. 
   
5. $sql = "select message from uchome_doing order by doid desc LIMIT 0,10";
   
6. $list = $db->fetch_all($sql);
   
7. 
   
8. foreach ($list as $li) {
   
9.        
   
10.         $li[0]=strip_tags($li[0]);
    
11.         if(strlen($li[0])!=0){
    
12.                 $msgs=$msgs.$li[0]."|";       
    
13.         }
    
14. }
    
15. 
    
16. $msgs=substr($msgs,0,strlen($msgs)-1);
    
17. $str = <<<eot
    
18. 
    
19. 
    
20. eot;
    
21. echo $str;

复制代码

把首页index.php这段代码删了就不是空白了

很不错, anjo在此感谢, 我发的yoho模板也有注明.

但是按照你的做法修改后，一片空白。

DB.class.php
允许站外调用数据库!
DB.class.php包含极不规范的UChome代码, 文件开始并没有限定 if(!defined('IN_UCHOME')exit; 在任何地方通过地址栏将可以马上清空你的数据库!

那该如何限定，原文代码是：

1. <?php
   
2. 
   
3. //echo "db.class.php";
   
4. class DBAccess {
   
5. //Ucenter Home 配置参数
   
6. private $dbhost= '61.191.191.120'; //服务器地址
   
7. private $dbuser= 'anjo'; //用户
   
8. private $dbpw= '376983048'; //密码
   
9. private $dbname= 'sqlanjo'; //数据库
   
10. 
    
11. public  $con="";
    
12. public $result=array();
    
13. public $query ;
    
14. public $sql;
    
15. //__construct(),构造函数,建立数据库的连接
    
16. function __construct(){
    
17. $this -> con = @mysql_connect ($this -> dbhost,$this -> dbuser, $this -> dbpw);
    
18. 
    
19. mysql_select_db($this -> dbname,$this->con);
    
20. mysql_query("SET NAMES gbk");
    
21. 
    
22. }
    
23. //__destruct：析构函数，断开连接
    
24. function __destruct(){
    
25. mysql_close($this->con);
    
26. //此处还有问题......
    
27. 
    
28. }
    
29. //执行语句
    
30. function query($sql){
    
31. 
    
32. return mysql_query($sql);
    
33. 
    
34. }
    
35. //返回结果集 ARRAY
    
36. function fetch_all($sql) {
    
37. $arr = array();
    
38. $query = $this->query($sql);
    
39. while($data = $this->fetch_array($query)) {
    
40. $arr[] = $data;
    
41. 
    
42. }
    
43. return $arr;
    
44. 
    
45. }
    
46. function fetch_array($query) {
    
47. return @mysql_fetch_array($query);
    
48. }
    
49. //返回一条记录
    
50. function fetch_first($sql) {
    
51. $query = $this->query($sql);
    
52. return $this->fetch_array($query);
    
53. 
    
54. }
    
55. //返回一条记录的第一列
    
56. function first($sql) {
    
57. 
    
58. $query = $this->query($sql);
    
59. $query = $this->fetch_array($query);
    
60. return $query [0];
    
61. 
    
62. }
    
63. 
    
64. }
    
65. ?>
    
66. 
    

复制代码

bzxhst


    我拜托你好不好, 我指的是yoho根目录里那个, 正常的 db.class.php 为小写, 在ucenter/l ...
foolant 发表于 2009-11-15 23:59

不好意思，大哥，我也是菜鸟，刚看了，原来他主页里加了代码，改完了就能正常打开了，我刚接UCH，我QQ:66788406，能加上吗，向你多学习！

还有其他不安全的地方吗！！！