第 1 頁 (共 1 頁)
[å•
發表於 : 2004-05-24 17:35
由 waveboy
å•
發表於 : 2004-05-24 17:57
由 天霜
是 2.0.8 安全性更新的原因
因為那個連結的檔案名稱的"副檔名"不在允許名稱內\r
但是這部份有什麼安全性問題我就不清楚了
http://www.phpbb.com/phpBB/viewtopic.php?t=183982
#
#-----[ OPEN 打開 ]------------------------------------------------
#
代碼: 選擇全部
includes/bbcode.php
#
#-----[ FIND 尋找 ]------------------------------------------------
#
代碼: 選擇全部
$text = preg_replace("#\[img\]((ht|f)tp://)([^
\t<\"]*?)\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);
#
#-----[ REPLACE WITH 替換 ]----------------------------------------
#
代碼: 選擇全部
$text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"
\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);
#
#-----[ SAVE/CLOSE ALL FILES 儲存/關閉所有檔案 ]-------------------
#
# EoM 外掛修正結束
如果希望恢復以前強制顯示圖案的話\r
就上面的部份反向安裝應該就可以顯示了
發表於 : 2004-05-24 19:15
由 waveboy
代碼: 選擇全部
$text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"
\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);
這看起來åƒ
發表於 : 2004-05-26 12:43
由 Mowd
嗯,除此之外其他非正常格式的圖片也無法顯示了,例如
這個本來是一個圖片,但是沒辦法顯示了。
如果你硬要顯示圖片,可以進去資料庫改sql,把[img]改成[img:188dw54d],:後面的數字是每個人都有的一串數字。
發表於 : 2004-05-26 12:45
由 Mowd
發表於 : 2004-05-26 13:31
由 台灣阿堂
竹貓的版本已經年代久遠了~
發表於 : 2004-05-26 14:14
由 依夢兒
Mowd 寫:嗯,除此之外其他非正常格式的圖片也無法顯示了,例如
這個本來是一個圖片,但是沒辦法顯示了。
這是因為 2.0.8 IMG 語法為了安全性的考量。
如果你希望能夠張貼這樣格式的圖像,請參考:
http://www.phpbb.com/phpBB/viewtopic.ph ... 28#1046628
發表於 : 2004-06-02 20:04
由 Mowd
其實php應該被擋的,不然有個會員在簽名檔留下一個像圖片的php連結,其實裡面紀錄了瀏覽者的各種資料,那不是很可怕嗎?
發表於 : 2004-06-04 01:00
由 waveboy
[quote="Mowd"]其實php應該被擋的,ä¸
發表於 : 2004-06-05 13:29
由 Mowd
沒錯,就是像"論壇狀態簽名"這種東西。這只是其中一種應用方式,或是只要在簽名檔放一個php圖片也可以。
只要在php程式碼前加上偵測使用者狀態以及讀取cookies的惡意程式碼,最後再header成圖片,這樣看起來雖然是圖片,但其實瀏覽者的電腦已經被偵測了,雖然不至於做到入侵的地步,不過還是相當的不安全。
似乎沒有什麼兩全其美的方法,畢竟用現在php來顯示圖片的人不多,如果以後越來越多的話,就要小心了。因為你也沒辦法看到到底對方的程式碼裡面包含了什麼東西。