设为首页收藏本站
切换到宽版

Discuz!官方免费开源建站系统

 找回密码
 立即注册
搜索
Discuz!官方免费开源建站系统»论坛 增值产品交流与讨论 UCenter Home 专区 UCenter Home-模板插件 危险!YOHO模板用户请即刻清除3个文件!!
123456789下一页
返回列表 发新帖

[建议] 危险!YOHO模板用户请即刻清除3个文件!!

  [复制链接]
richenlin 发表于 2009-11-16 14:41:37 | 显示全部楼层
本帖最后由 richenlin 于 2009-11-16 14:45 编辑

自己每个文件检查一下代码,稍微学点代码知道就能杜绝这个问题((em:06))
回复

使用道具 举报

f1999 发表于 2009-11-16 14:24:52 | 显示全部楼层
谢谢分享经验, 但是我还是想用yoho模板啊!!    该怎么修改才能保证安全呢? 楼主出来指导一下大家吧,

帮人帮到底啊!! 谢谢。
回复

使用道具 举报

wanli1979 发表于 2009-11-16 14:02:38 | 显示全部楼层
很感谢,非常不错!
回复

使用道具 举报

admin-king 发表于 2009-11-16 12:52:52 | 显示全部楼层
把首页这段代码删了就不是空白了,index.php?
回复

使用道具 举报

爱③无悔 发表于 2009-11-16 12:41:23 | 显示全部楼层
本帖最后由 爱③无悔 于 2009-11-16 13:31 编辑

13# admin-king
  1. include_once 'DB.class.php';

  3. $db = new DBAccess();

  5. $sql = "select message from uchome_doing order by doid desc LIMIT 0,10";
  6. $list = $db->fetch_all($sql);

  8. foreach ($list as $li) {
  9.        
  10.         $li[0]=strip_tags($li[0]);
  11.         if(strlen($li[0])!=0){
  12.                 $msgs=$msgs.$li[0]."|";       
  13.         }
  14. }

  16. $msgs=substr($msgs,0,strlen($msgs)-1);
  17. $str = <<<eot


  20. eot;
  21. echo $str;
复制代码
把首页index.php这段代码删了就不是空白了
回复

使用道具 举报

anjo2009 发表于 2009-11-16 12:18:46 | 显示全部楼层
很不错, anjo在此感谢, 我发的yoho模板也有注明.
回复

使用道具 举报

admin-king 发表于 2009-11-16 12:14:53 | 显示全部楼层
但是按照你的做法修改后,一片空白。
回复

使用道具 举报

admin-king 发表于 2009-11-16 11:19:14 | 显示全部楼层
DB.class.php
允许站外调用数据库!
DB.class.php包含极不规范的UChome代码, 文件开始并没有限定 if(!defined('IN_UCHOME')exit; 在任何地方通过地址栏将可以马上清空你的数据库!


那该如何限定,原文代码是:

  1. <?php

  3. //echo "db.class.php";
  4. class DBAccess {
  5. //Ucenter Home 配置参数
  6. private $dbhost= '61.191.191.120'; //服务器地址
  7. private $dbuser= 'anjo'; //用户
  8. private $dbpw= '376983048'; //密码
  9. private $dbname= 'sqlanjo'; //数据库

  11. public  $con="";
  12. public $result=array();
  13. public $query ;
  14. public $sql;
  15. //__construct(),构造函数,建立数据库的连接
  16. function __construct(){
  17. $this -> con = @mysql_connect ($this -> dbhost,$this -> dbuser, $this -> dbpw);

  19. mysql_select_db($this -> dbname,$this->con);
  20. mysql_query("SET NAMES gbk");

  22. }
  23. //__destruct:析构函数,断开连接
  24. function __destruct(){
  25. mysql_close($this->con);
  26. //此处还有问题......

  28. }
  29. //执行语句
  30. function query($sql){

  32. return mysql_query($sql);

  34. }
  35. //返回结果集 ARRAY
  36. function fetch_all($sql) {
  37. $arr = array();
  38. $query = $this->query($sql);
  39. while($data = $this->fetch_array($query)) {
  40. $arr[] = $data;

  42. }
  43. return $arr;

  45. }
  46. function fetch_array($query) {
  47. return @mysql_fetch_array($query);
  48. }
  49. //返回一条记录
  50. function fetch_first($sql) {
  51. $query = $this->query($sql);
  52. return $this->fetch_array($query);

  54. }
  55. //返回一条记录的第一列
  56. function first($sql) {

  58. $query = $this->query($sql);
  59. $query = $this->fetch_array($query);
  60. return $query [0];

  62. }

  64. }
  65. ?>

复制代码
回复

使用道具 举报

bzxhst 发表于 2009-11-16 10:16:52 | 显示全部楼层
bzxhst


    我拜托你好不好, 我指的是yoho根目录里那个, 正常的 db.class.php 为小写, 在ucenter/l ...
foolant 发表于 2009-11-15 23:59

不好意思,大哥,我也是菜鸟,刚看了,原来他主页里加了代码,改完了就能正常打开了,我刚接UCH,我QQ:66788406,能加上吗,向你多学习!
回复

使用道具 举报

qq7877666 发表于 2009-11-16 08:17:46 | 显示全部楼层
还有其他不安全的地方吗!!!
回复

使用道具 举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2025-9-13 21:11 , Processed in 0.077304 second(s), 12 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表