[討論] 把論壇改成沒副檔名的圖也開到...

[bebe2803]

先說明一點, phpBB 因為要防止 [img] 會有自動開啟的特性, 而限制的很厲害, 防止人用 [img] 來令人看那帖時自動執行了一些東西 (例如是程式碼等就直接塞在 [img] 內)

但不方便之處是除了副檔名是 jpg|jpeg|gif|png 外其他的也不能用 [img], 而且一些如 tinypic 的網根本沒副檔名的就完全不能用 [img], 現在我在不斷嘗試下改到令沒副檔名的也可以用到 [img], 就是開 includes/bbcode.php 內, 找這句\r

代碼: 選擇全部

$text = preg_replace("#\[img\]((http|ftp|https|ftps)://)([^ \?&=\#\"

\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

改成

代碼: 選擇全部

$text = preg_replace("#\[img\]((http|ftp|https|ftps)://)([^ \?&=\#\"

\t<]*?(|\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

即是在 \.(jpg|jpeg|gif|png 前加了一個 |

請各位給些意見... (我已預到放寬 img 的危險了, 但由於很多人因此不貼圖, 所以只好這樣 <- 又不想開 html 碼, 況且他們也不知論壇是可以用 html = =)




雖說已知問題, 但被人提醒後也想了一會, 最後我想到這方式... @@

不要用上面的句子, 在\r

代碼: 選擇全部

	$text = preg_replace("#\[img\]((http|ftp|https|ftps)://)([^ \?&=\#\"

\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

後加一句\r

代碼: 選擇全部

	$text = preg_replace("#\[img\]http://www.tinypic.com/*?\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

例如我認為 tinypic.com 內來的內容一定是安全的圖片, 那我就把那句加上去, 之後 tinypic.com 來的 url 就一定可以用 [img] 開...

[天~~]

即是在 \.(jpg|jpeg|gif|png 前加了一個 |

沒記錯|是or的意思
這樣改我可以把任何檔案用img來開啟ㄟ~"~
如果有白X的人放個木馬不就完蛋摟!!
還是回來吧~~~

[bebe2803]

其實那是代表 "沒和副檔名和 .JPG..... 等會開, 還是 | 之前的就代表所有檔案格式 ? @@

p.s. 其實用 白* 來形容那些有惡意的人真的是不太合適 應該用 混* 來形容較好 當然一些更粗俗的也不錯 = =


對了 其實有不少論壇如某 d (可能現在新版改了, 舊版的一定有) 就有這樣的設定 (很少限制 [img]) 例如被人用 [img] 來放一些不是 img 的東西 @@ 那麼是不是只有開了那帖看的人會中招 (雖說這樣已經夠嚴重了...)

[bebe2803]

我把那句改了這樣了..... (汗)

代碼: 選擇全部

	$text = preg_replace("#\[img\]http://www.tinypic.com/*?\[/img\]#sie", "'[img:$uid]\\\1' . str_replace(' ', '%20', '\\\3') . '[/img:$uid]'", $text);

遲些不如儲一個 allow list 好了 XDD