在\r
代碼: 選擇全部
$template->assign_vars(array(
代碼: 選擇全部
'PHPBB_VERSION' => ($userdata['user_level'] == ADMIN && $userdata['user_id'] != ANONYMOUS) ? '2' . $board_config['version'] : '',
[問題] 在 phpBB 2.0.18 加回版本編號
版主: 版主管理群
-
littlebean.net
- 星球普通子民
- 文章: 3
- 註冊時間: 2005-12-16 11:08
[問題] 在 phpBB 2.0.18 加回版本編號
小弟初建立 phpBB, 版本為 2.0.18, 發現除管理員控制台外, 大部份頁面皆沒有版本篇號, 所以自行搜尋加回 {PHPBB_VERSION} 到 overall_footer.tbl 及在includes/page_tail.php 作了以下修改:
在\r
之後加入\r
效果達到了, 問題是:這個作法會否造成保安問題? 因為程式碼中似乎包含了提升user_level的動作。如果答案是會的話, 那應如何修改呢?
在\r
-
messagebox
- 竹貓忠實會員
- 文章: 981
- 註冊時間: 2003-02-24 23:34
Re: [問題] 在 phpBB 2.0.18 加回版本編號
我來解釋一下這段的解釋吧~至於是否要用~就端看原文者的感覺了~littlebean.net 寫:效果達到了, 問題是:這個作法會否造成保安問題? 因為程式碼中似乎包含了提升user_level的動作。如果答案是會的話, 那應如何修改呢?代碼: 選擇全部
'PHPBB_VERSION' => ($userdata['user_level'] == ADMIN && $userdata['user_id'] != ANONYMOUS) ? '2' . $board_config['version'] : '',
坢段是用了兩個判斷~中間使用&& 表示兩個判斷都要成立才成立~
$userdata['user_level'] == ADMIN
($userdata['user_level'] 必須是管理員(預設就是可以進入後台的人)
$userdata['user_id'] != ANONYMOUS
$userdata['user_id'] 不能為訪客(就是phpbb保留的那個會員,簡單來說~是指沒登入的人)
如果上述兩項條件成立~
則顯示字串(2.xxx)
反之~上述兩項條件任一項不成立~
陣列的'PHPBB_VERSION'值將為null(空字串)
所以跟你所謂的提升user_level的動作完全沒關係~
請安心使用\r
比較有疑慮的是~知道phpBB版本~人家可以去找跟你同版本的原始碼來找漏洞~
簡單來說~確實是比不知道版本情況下~比較容易被駭~
但機會不高~phpbb畢竟是一個成熟的軟體了~
-
littlebean.net
- 星球普通子民
- 文章: 3
- 註冊時間: 2005-12-16 11:08
