bug：网站没开点评功能，别人居然能点评

ww386 · 发表于 2017-5-19 12:38:42

如上图，网站没有开点评，这些做广告的居然能点评，并且在楼主贴下面点评！！
我自己用管理号只能删除这点评，但是自己想点评也办不到！！

格东站长网插件 · 发表于 2017-5-19 16:17:26

jiangchuankyo · 发表于 2017-5-19 17:05:58

和那个允许下载远程图片附件的漏洞如出一辙,只做了按钮显示与否的判断,执行操作的PHP文件内无判断,网页htm代码浏览者都是可以编辑的别人手动添加一个按钮上去就对了,估计像这类漏洞还多不胜数

ww386 · 发表于 2017-5-20 13:33:38

格东站长网插件发表于 2017-5-19 16:17
早就研究过了：http://gedong.net/thread-1060-1-1.html

高手，
问题解决，
非常感谢

ww386 · 发表于 2017-5-20 13:34:39

jiangchuankyo 发表于 2017-5-19 17:05
和那个允许下载远程图片附件的漏洞如出一辙,只做了按钮显示与否的判断,执行操作的PHP文件内无判断,网页htm ...

非常感谢，按你楼上的方法，问题已经解决

格东站长网插件 · 发表于 2017-5-20 16:04:40

本帖最后由格东站长网插件于 2017-5-20 16:06 编辑

jiangchuankyo 发表于 2017-5-19 17:05
和那个允许下载远程图片附件的漏洞如出一辙,只做了按钮显示与否的判断,执行操作的PHP文件内无判断,网页htm ...

没有多不胜数的，在DZ程序中，这种漏洞极少极少。
毕竟那么多论坛那么多注册机用了那么多年，有什么漏洞全都暴露过了。
发帖这块几乎不存这种漏洞，但点评是单独的体系，代码不太严谨，尽量不要用点评。

		自动登录	找回密码
密码			立即注册

[求助] bug：网站没开点评功能，别人居然能点评