Discuz 附件名符号&会变成&

在Discuz上传附件文件时，会把html字符 <> & " ' 转换成html实体字符，这样的好处是防止一些恶意用户写入JavaScript代码，造成安全隐患，如：XSS(跨站脚本攻击)、CSRF(跨站请求伪造）等。

在论坛上传附件时（上传的文件名会保存在数据库里面，所以我们只要找到在什么地方写入数据库，就能修改啦），系统会把名字为 图片&视频.zip 的附件改成

👦‌👗📱😅👃
看样子是系统转换html字符出现了BUG，导致 & 被转移了多次。

开始定位问题。

通过浏览器网络请求发现上传相关的URL为：

👵‎🩳💊😂👄

那就在系统代码里面找到文件：


找到关键代码：🧑‍🍳‎👓🧯😡👌

继续找到文件：


👩‍✈️‎👙🔋😴👊
看到是130 行这里定义了文件名，其中 $upload->attach['name']就是文件名，继续查下看，找到文件：



发现43行这里也对文件名进行了一次转换，所以开头问题就找到了。🧑‍🍳‍👜🪟😰🤳

因为 discuz_upload.php 是最后加载的，我们保留这里的转换功能，去掉前面 forum_upload.php 的转换：


这个文件的 130 行👦‌🛍📮😷✋



修改改成：

👍🗺🔪🅱🦚‎

问题解决，保留了安全过滤功能，也能正常显示。