怀疑有新的攻击方式，希望官方注意！！

最近几天，有大量的类似注入的字符串在尝试登陆论坛，基本特点是用户名比较长，中间含有++ // --==*/等等注入攻击的特征词。

我临时限制了登录用户名的长度，建议官方给一个长久的解决方案。

临时修改 function_member.php
在

1. function userlogin($username, $password, $questionid, $answer, $loginfield = 'username') {^M
   
2.         $return = array();^M                                                
   
3. ^M   

复制代码

后面添加                                                                        

1. ////////////////////////////////////////////////////////////////////////     
   
2. if(strlen($username)>15){                                                   
   
3. showmessage('论坛暂时禁止长用户名登陆，请重新注册或者联系论坛总部。',NULL,'index.php');
   
4. }        

复制代码

这个基本放心吧，DZ的防注入机制还是比较完善的。这就是你所说的长久解决方案
一个addslash就把这种行为拒之门外了。

搞破坏的人是长期存在的，但是他根本就无法成功，所以你就让他闹腾去吧，最多给你留下大量记录。
官方可以从技术上阻止数据注入，但是没有办法让破坏人自己主动放下屠刀，立地成佛的。

看看！！！
http://yishion.enk8.com http://www.ss0730.com.com http://xifuquan.enk8.com http://osa.enk8.com http://qiushuiyiren.enk8.com http://girdear.enk8.com http://ayilian.lemei8.com http://metersbonwe.enk8.com http://www.enk8.com http://www.lemei8.com http://i68.5d6d.com http://i39.5d6d.com http://niuzaiku.enk8.com http://nvzhuang.enk8.com

sw08 发表于 2011-11-27 09:36
这个基本放心吧，DZ的防注入机制还是比较完善的。这就是你所说的长久解决方案
一个addslash就把这种行为拒 ...

回答胡很精辟((em:10))

开源的就是可以不断的完善。

这个在哪看的？

防御不可能100%，垃圾广告就没有防住。

有些事正如你所想

百度一下看，就会有结果

排名下滑了~LZ有没有好的法子啊？