安全检测出高危漏洞

百度云观测检测出如下高危漏洞——
漏洞描述
Crossday Discuz! Board（简称 Discuz!）是一款社区论坛软件系统。Discuz! X3.2存在文件包含漏洞，问题出在代码中的函数check_seccode()，该函数在/source/class/helper/helper_seccheck.php中，作用是检查验证码是否正确。在后台的防灌水功能中可以设置验证码类型，对应的变量是$_G['setting']['seccodedata']['type']，该值在进入数据库前未做安全检查。check_seccode()取出该值时也没有检查是否合法，导致漏洞产生。

影响版本
Discuz! Discuz! X3.2

修复方案
对输入数据库的变量进行安全检测，避免相关漏洞的产生。


百度站长安全状态中提示为：危险网站

升级最新版

crx349 发表于 2016-8-20 14:27
升级最新版

后台检测版本 提示已是最新版 怎么办呢。。。

这个容易，加个数据过滤函数就是了
代码太多了，难免有遗漏的地方，找到了就自己补上

magentoon 发表于 2016-8-20 15:24
这个容易，加个数据过滤函数就是了
代码太多了，难免有遗漏的地方，找到了就自己补上

大神 求教 我应该怎么做呢？ 3.2版本都有这个问题 只能咱们自己去补么？

wsjnyy 发表于 2016-8-20 17:16
大神 求教 我应该怎么做呢？ 3.2版本都有这个问题 只能咱们自己去补么？

我没具体看代码，但过滤一般就是对数值整数化、文字文本化这些，表单输入必有的代码。
比如管理帖子时填写理由，变量是$_GET['reason']，担心有人别有用心把代码符号写进去，变成执行代码，就加个过滤函数：htmlspecialchars($_GET['reason'])，全部变文本，代码失效，就没问题了。
你自己可以去翻代码

wsjnyy 发表于 2016-8-20 14:50
后台检测版本 提示已是最新版 怎么办呢。。。

用官方的 601版本 后台升级已经无效了

crx349 发表于 2016-8-20 17:29
用官方的 601版本 后台升级已经无效了

好的 谢谢 我试试去

magentoon 发表于 2016-8-20 17:22
我没具体看代码，但过滤一般就是对数值整数化、文字文本化这些，表单输入必有的代码。
比如管理帖子时填 ...

这个。。。看懂了 但不会做 我先试试升级吧 谢谢了

可以升级到新版。