[å•

[waveboy]

å•

[天霜]

是 2.0.8 安全性更新的原因

因為那個連結的檔案名稱的"副檔名"不在允許名稱內\r

但是這部份有什麼安全性問題我就不清楚了

http://www.phpbb.com/phpBB/viewtopic.php?t=183982
#
#-----[ OPEN 打開 ]------------------------------------------------
#

代碼: 選擇全部

includes/bbcode.php

#
#-----[ FIND 尋找 ]------------------------------------------------
#

代碼: 選擇全部

$text = preg_replace("#\[img\]((ht|f)tp://)([^
\t<\"]*?)\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

#
#-----[ REPLACE WITH 替換 ]----------------------------------------
#

代碼: 選擇全部

$text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"

\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

#
#-----[ SAVE/CLOSE ALL FILES 儲存/關閉所有檔案 ]-------------------
#
# EoM 外掛修正結束

如果希望恢復以前強制顯示圖案的話\r
就上面的部份反向安裝應該就可以顯示了

[waveboy]

代碼: 選擇全部

$text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"

\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

這看起來åƒ

[Mowd]

嗯，除此之外其他非正常格式的圖片也無法顯示了，例如

這個本來是一個圖片，但是沒辦法顯示了。
如果你硬要顯示圖片，可以進去資料庫改sql，把[img]改成[img:188dw54d]，:後面的數字是每個人都有的一串數字。

[Mowd]

咦？這裡竟然可以顯示出來？看來竹貓沒有修正2.0.8a。我說的圖片是這個

http://groups.msn.com/_Secure/0TgDYAt0W ... 6206143115

[台灣阿堂]

竹貓的版本已經年代久遠了～

[依夢兒]

嗯，除此之外其他非正常格式的圖片也無法顯示了，例如

這個本來是一個圖片，但是沒辦法顯示了。

這是因為 2.0.8 IMG 語法為了安全性的考量。
如果你希望能夠張貼這樣格式的圖像，請參考：

http://www.phpbb.com/phpBB/viewtopic.ph ... 28#1046628

[Mowd]

其實php應該被擋的，不然有個會員在簽名檔留下一個像圖片的php連結，其實裡面紀錄了瀏覽者的各種資料，那不是很可怕嗎？

[waveboy]

[quote="Mowd"]其實php應該被擋的，ä¸

[Mowd]

沒錯，就是像"論壇狀態簽名"這種東西。這只是其中一種應用方式，或是只要在簽名檔放一個php圖片也可以。
只要在php程式碼前加上偵測使用者狀態以及讀取cookies的惡意程式碼，最後再header成圖片，這樣看起來雖然是圖片，但其實瀏覽者的電腦已經被偵測了，雖然不至於做到入侵的地步，不過還是相當的不安全。
似乎沒有什麼兩全其美的方法，畢竟用現在php來顯示圖片的人不多，如果以後越來越多的話，就要小心了。因為你也沒辦法看到到底對方的程式碼裡面包含了什麼東西。