第 1 頁 (共 1 頁)
[問題] 在 phpBB 2.0.18 加回版本編號
發表於 : 2005-12-16 18:29
由 littlebean.net
小弟初建立 phpBB, 版本為 2.0.18, 發現除管理員控制台外, 大部份頁面皆沒有版本篇號, 所以自行搜尋加回 {PHPBB_VERSION} 到 overall_footer.tbl 及在includes/page_tail.php 作了以下修改:
在\r
代碼: 選擇全部
$template->assign_vars(array(
之後加入\r
代碼: 選擇全部
'PHPBB_VERSION' => ($userdata['user_level'] == ADMIN && $userdata['user_id'] != ANONYMOUS) ? '2' . $board_config['version'] : '',
效果達到了, 問題是:這個作法會否造成保安問題? 因為程式碼中似乎包含了提升user_level的動作。如果答案是會的話, 那應如何修改呢?
發表於 : 2005-12-16 19:18
由 DL
請跟隨官方設定...網友根本無需知道你所用的版本...
發表於 : 2005-12-17 19:23
由 w2812451
而且告訴別人你的版本很容易被 駭
Re: [問題] 在 phpBB 2.0.18 加回版本編號
發表於 : 2005-12-17 20:23
由 messagebox
littlebean.net 寫:代碼: 選擇全部
'PHPBB_VERSION' => ($userdata['user_level'] == ADMIN && $userdata['user_id'] != ANONYMOUS) ? '2' . $board_config['version'] : '',
效果達到了, 問題是:這個作法會否造成保安問題? 因為程式碼中似乎包含了提升user_level的動作。如果答案是會的話, 那應如何修改呢?
我來解釋一下這段的解釋吧~至於是否要用~就端看原文者的感覺了~
坢段是用了兩個判斷~中間使用&& 表示兩個判斷都要成立才成立~
$userdata['user_level'] == ADMIN
($userdata['user_level'] 必須是管理員(預設就是可以進入後台的人)
$userdata['user_id'] != ANONYMOUS
$userdata['user_id'] 不能為訪客(就是phpbb保留的那個會員,簡單來說~是指沒登入的人)
如果上述兩項條件成立~
則顯示字串(2.xxx)
反之~上述兩項條件任一項不成立~
陣列的'PHPBB_VERSION'值將為null(空字串)
所以跟你所謂的
提升user_level的動作完全沒關係~
請安心使用\r
比較有疑慮的是~知道phpBB版本~人家可以去找跟你同版本的原始碼來找漏洞~
簡單來說~確實是比不知道版本情況下~比較容易被駭~
但機會不高~phpbb畢竟是一個成熟的軟體了~
發表於 : 2005-12-18 02:30
由 littlebean.net
謝過幾位大大的回覆, 現在明白了...
沒有看清楚那個是 == 而 不是 =
小的會考慮各位大大的意見再作決定了~~
