技术篇（一）：通过修改代码来解决网站内容被恶意修改的问题

前言：
大家好，看到官方举办这么有意义的活动，作为康盛fans的我，感到由衷的高兴。希望能将自己所学的那么一点点，通过这个平台与大家共同分享，祝愿康盛的明天更加辉煌，SupeSite早日成为CMS的霸主。
首先，我来发表一篇《技术篇（一）：通过修改代码来解决网站内容被恶意修改的问题》。接下来，我会陆续写一些与产品程序开发相关的文章，希望大家能够支持我，谢谢！

漏洞：
在SupeSite7.0中，存在一个漏洞，该漏洞可能导致任何人可以修改别人的文章，这意味着，您可以在别人网站上添加任意内容！反之，任何人都可以修改您网站的内容。

测试方法：
如何测试这个存在于SupeSite7.0中的漏洞，请按如下步骤操作
1、注册一个会员，并登录后台
2、找到一篇您需要“入侵”的文章，记住该文章的ID号，ID号即为文章的itemid号
3、在浏览器地址栏中输入：http://网站的域名/admincp.php?action=spacenews&op=edit&itemid=文章的ID号
4、不用多说了吧，您就任意地改吧！任意的添加吧！

解决方法：
解决方法有两种，推荐使用第2种，因为比较彻底。
1、关闭网站自动审核的功能，可防止被恶意修改后的文章在前台显示出来。但仍然无法阻止文章被他人恶意修改，且无法恢复。此方法不用修改官方任何源码。
2、修改admin/admin_spacenews.php的代码，此方法可以完全禁止别人的恶意修改。
首先找到：

1. if($thevalue) {
   

复制代码

在核心块中添加一段判断代码，修改后变成：

1. if($thevalue) {
   
2. if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == 'edit')) {
   
3. showmessage('submit_invalid_error');
   
4. }
   

复制代码

补丁文件：



声明：
因为此教程公开了漏洞及"入侵"的方法，请朋友们相互提醒一下，尽早升级至官方发布的SupeSite7.5正式版，如果您仍然在使用旧版，请按上述方法检查并修复，确保自己的网站安全。此前我已经发布相关贴子提供了解决的办法，截止目前为止，浏览量已达2800次，补丁下载量共计200多次。


作者ID号：ssjjvv
网 站：http://www.dongshihui.com
时 间：2009年11月16日

前来围观1下

支持.................

假老虎？
www.quanfo.com 圈否网
www.yiker.net 易客互联

支持一下BUG 存在 但希望楼主在这里只出补丁 不要把BUG 公布了!!

很好阿。。。。。。。。。

支持下楼主。。

落伍MJJ过来围观一下

支持楼主，很好啊

围观之中！