【注意】关于 Discuz! 论坛程序泄漏物理路径的说明

近期，一些站点上转载一篇《Discuz! 论坛程序泄漏物理路径》的文章，甚至制作了一些专用工具。更有人将他归结于程序漏洞，其实大家不必过于紧张。

1. 文章中和工具均利用了 php本身的一些函数如preg_match，urlencode等函数在处理参数时没有正确处理好字符串和数组，导致在传递一个恶意参数的时候产生一个warning级别的错误，利用这个错误来了解论坛的路径。此种方式的攻击或者探测，不会对论坛的原有数据和权限产生任何威胁。

2. 论坛程序泄漏物理路径没有直接性危害。只有服务器有其他安全问题的时候，程序物理路径可以让攻击者了解站点的路径。

3. 由于部分站长经常安装一些插件，或者自己添加功能调试程序，为了及时的找到程序的出错调试信息，也会把错误日志打开，当出现问题的时候可以尽快排查，或者提供给技术人员协助解决。PHP错误信息的出现属于是正常现象。

4. Discuz! 程序中，为了保证对论坛的所有信息的防护，早已经加入了安全设置，可以避免此类信息的出现。


因此有人利用这一事情，认为Discuz! 有安全漏洞，或者要求官方出修补方案，其实是完全没有必要的。

如果您对站点的安全或者程序的安全仍旧存有疑虑，或者不想让其他人知道自己站点的任何信息，您可以通过以下三种方式，关闭PHP出错信息。（选择一种或者多种均可）

【方法1】 利用 Discuz! 自身提供的安全设置，屏蔽此类错误信息。修改 论坛文件 config.inc.php 。
查找

1. 
   
2. $errorreport = 1;
   

复制代码

修改为

1. 
   
2. $errorreport = 0;
   

复制代码

这样，当程序出错的时候，所有的错误报告仅仅报告给论坛的管理人员，普通会员或者游客无法见到错误信息。

【方法2】强制关闭论坛所有错误！（对任何人均有效）
修改 论坛文件 common.inc.php 。
查找

1. 
   
2. error_reporting(E_ERROR | E_WARNING | E_PARSE);
   

复制代码

修改为

1. 
   
2. error_reporting(0);
   

复制代码

【方法3】关闭整个站点任何程序的错误！
修改服务器 php.ini ，关闭所有错误报告。（具体方法参见 php 手册）

哦，这样啊,地球人都知道

看来是每事的，物理地址没什么大惊小怪的

我晕死。。
！！

关键是做好服务器安全

顶个 ~~~~~

沙发支持 ~~~~~~~~~

前排支持哦

前排支持