[DST]安全修复——(娱乐插件)游乐场 FOR DISCUZ!5.5.0 GBK版[版主安装测试通过]

本插件由版主sakurakawaii于07年6月14日19：43分
在Windows XP Discuz!5.5.0标准模版 IE6 Mysql4.1下测试安装无错
本测试仅代表此插件安装无错，不包括今后长期使用中可能出现的问题

安全修复此插件：https://discuz.dismall.com/viewthread.php?tid=629086
版权信息
作者: lordharrd lee(v2.x)
改编: MacauBBS
编码转换:[DST]小铭铭
安全修复:[DST]kelystor(小龙虾)
代码重排:[DST]kelystor(小龙虾)
版本: 20070418

安全修复说明：
主要修复以下漏洞：
第一漏洞：庄主瞬间崩盘(可以让庄主的金钱一下变成0)
第二漏洞：XSS(跨站脚本攻击，这个就不多说了)
第三漏洞：买马冠名不用钱，而且可以抢夺别人已经冠名了的马
第四漏洞：买马冠名可以刷钱(一下子可以让你跻身富豪之列)
第五重大漏洞：可以暴出管理员的密码(虽然是加密后的密码，但也是很危险)
第六小漏洞：以empty为名的会员买马冠名问题
第七小bug：修正跑马场在firefox下的js兼容问题(现在在firefox也可以看到马跑动的效果了)
第八小bug：修正一些js判断提示信息错误
第九小bug：体力判断上的错误

修复主要针对安全问题，程序的逻辑如果不是出于安全修复的需要，均没有做更改。
另外，也更改和增加了一些提示信息，使其更贴切。

进行了代码重排，使源代码更规范合理。

给大家一个设置方面的建议:尽量不要把最小下注值和最大下注值设置得差太大，否则会造成逻辑刷钱（比如赌大小，第一次下注10，第二次下注20，第三次40，以此类推……还是很容易赢钱的）。插件默认设置就差很大，建议大家安装完成后，立即修改。

说明：娱乐场，包括：赌大小，猜数字，赌骰子，跑马场，开荒垦地。
本插件必须配合论坛至少一种积分设置，作为娱乐场交易用途，但预设为两种， 金钱，体力。
如果你不想用体力可设置为0，更加个性后台，自设娱乐场，马场，名称……

修改文件：没有
数据升级：有
难度：易
(免费空间不建议安装)

安装步骤：
1、根据自己的mysql版本，使用相应的sql文件中的sql语句。
mysql4.0版本使用club(mysql4).sql中的语句升级数据库
mysql4.1版本以上的使用club(mysql4.1).sql中的语句升级数据库
如果之前安装过该插件(没有经过安全修复的)，不用再升级数据库。

2、按目录结构将文件上传到自己的论坛

3、打开 discuz_plugin_club.txt 全选copy，到后台， 插件管理-->导入插件数据 - 请将导出的文件内容粘贴如下-->提交
进入 插件设置-->娱乐场-->[插件参数设置]，根据自己的实际情况对参数进行调整设置

4、如果你要在线列表出现动作，修改templates\default\actions.lang.php，
找

1. 211 => '修改系统设置',

复制代码

改为

1. 211 => '修改系统设置',
   
2.         244 => '娱乐场',

复制代码

5、更新后台缓存


反安装步骤：
在后台删除“娱乐场”插件的信息，删除娱乐场所有相关文件，运行下列SQL语句，对之前的数据库更改进行恢复：

1. ALTER TABLE cdb_memberfields drop khtime;
   
2. drop table cdb_clubhorse;

复制代码

如果表前缀不是cdb_，请自行修改上面的SQL语句后，再执行。
如果之前修改了templates\default\actions.lang.php实现在线列表出现动作，那么请照之前的更改改回原样。(不修改也不会影响论坛的正常使用)


FAQ

1.Q：升级错误，MySQL 提示: Duplicate column name 'khtime' ，请返回

A：估计你安装过这个插件了，你可以不执行sql升级，直接覆盖相应的文件即可。
如果接着出现
SQL: UPDATE [Table]clubhorse SET buyuser = '', horsename = '', horsenation = '未知', horseinfo = '未知', buytime = '0' WHERE buytime < '1181560284' AND buyuser != ''
Error: Table 'a10111824144.[Table]clubhorse' doesn't exist
这样的错误，那么需要再执行相应的sql文件中除“ALTER TABLE `cdb_memberfields` ADD `khtime` INT( 11 ) DEFAULT '0' NOT NULL;”外余下SQL升级语句。


2.Q：升级错误，MySQL 提示: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'default charset=gbk' at line 1 ，请返回。

A：你的mysql版本比较低，是4.0或以下的。请把default charset=gbk改成：TYPE=MyISAM，或使用club(mysql4).sql中的语句升级数据库


3.Q：为什么赌输赢，金钱没有变化？

A：这是因为在插件设置中默认的庄主是admin，而在进行测试的时候，又使用admin来测试。赌博的话，如果赢了，是扣除庄主的钱给会员。如果输了，是扣除会员的钱给庄主。而如果庄主是admin，又使用admin来测试的话，就是扣自己的钱给自己，那么不管输赢钱都是不会变化的。开荒的话，钱是额外送的，不会扣除庄主的，所以开荒没有出现上述的问题。建议大家根据自己的实际情况进行调整设置。

有疑问请跟贴说明

演示及技术支持网站：http://bbs.xmulife.cn/club_index.php
原贴子:https://discuz.dismall.com/viewthread.php?tid=629086
DST网站:http://www.discuzsupport.net

[ 本帖最后由 伊泽浩 于 2007-6-21 00:09 编辑 ]

。。。。。。。。。占位待用

帮顶下....安全修复

不错，强烈支持这样的好帖子！

8错...

谢谢LZ的奉献啊 避免了我们的风险

一定要支持下!

弱弱的再问下...
什么时候出新的[DST]勋章中心啊.....俺等得花儿都谢了..........

:$

稍微占一楼～～～