discuz论坛插件 CSRF请教

肥爺 发表于 2014-2-8 23:19
就看处理的数据有多重要了
涉及积分钱财之类的话 单靠formhash submitcheck没有意义
这情况要考虑的只 ...

不涉及帐号和财务
就是用户发表的信息，管理员和用户可删除.
就是应用中心审核过不了,(回复:请留意删除等操作可能导致的CSRF问题),很郁闷,看别人插件,也没找到可参考的

baidudiscuz 发表于 2014-2-9 00:48
不涉及帐号和财务
就是用户发表的信息，管理员和用户可删除.
就是应用中心审核过不了,(回复:请留意删除等 ...

如果是我，我的做法是，再提交一次审核，你这样的验证过程肯定没问题，只是遇到一些2B民审粗略审核，你这就过不了了，一般再提交一次，运气好就可以过了~

还有formhash()最好替换成FORMHASH这个常量，否则调用函数又得重新做一次计算，没必要

shy9000 发表于 2014-2-9 00:44
帖子图片标签里面放上这么个图片地址，管理员一访问这个帖子你这招可就被CSRF了。还是有必要验证formhash ...

惭愧 我居然忘了这个 哈哈 新年快乐 ;)

baidudiscuz 发表于 2014-2-9 00:49
不涉及帐号和财务
就是用户发表的信息，管理员和用户可删除.
就是应用中心审核过不了,(回复:请留意删除 ...

1. if(!defined('IN_DISCUZ')) {
   
2.         exit('Access Denied');
   
3. }
   
4. 
   
5. if(!$_G['uid']) {               
   
6.         showmessage('not_loggedin', NULL, array(), array('login' => 1));
   
7. }
   
8. 
   
9. if(isset($_GET['id']) && isset($_GET['formhash']) && $_GET['formhash'] == FORMHASH) {
   
10.         $uid = intval($_G['uid']);
    
11.         $id = intval($_GET['id']);
    
12.         $sid = DB::result_first("SELECT id FROM ".DB::table('表1')." where id='$id' and uid='$uid'");
    
13.         if($sid){
    
14.                 DB::delete('表1',array('id'=> $sid,'uid'=> $uid));
    
15.                 showmessage('删除成功', '', array(), array('alert' => 'right'));
    
16.         }
    
17. }
    
18. showmessage('id不存在或来路不正确');

复制代码

这样就O了 G uid是可以不intval的 不过不知道审核人员怎么想 so 还是intval一下吧

非常感谢你们的帮助,我再提交试试.
祝你们新年愉快,心想事成,财源衮衮.......

肥爺 发表于 2014-2-9 01:25
惭愧 我居然忘了这个 哈哈 新年快乐 ;)

新年快乐~

肥爺 发表于 2014-2-8 22:03
当adminid已经是1即管理员的时候
神马formhash submitcheck都是浮云了
So 如果LZ的完整代码就这么多的话
...

被你的积分吓了一跳，好羡慕！！