Discuz 附件名符号&会变成&原创 |
在Discuz上传附件文件时,会把html字符 <> & " ' 转换成html实体字符,这样的好处是防止一些恶意用户写入JavaScript代码,造成安全隐患,如:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。
在论坛上传附件时(上传的文件名会保存在数据库里面,所以我们只要找到在什么地方写入数据库,就能修改啦),系统会把名字为 图片&视频.zip 的附件改成
![]() 看样子是系统转换html字符出现了BUG,导致 & 被转移了多次。 开始定位问题。 ![]() 通过浏览器网络请求发现上传相关的URL为: 👵🩳💊😂👄
那就在系统代码里面找到文件:
![]() 找到关键代码:🧑🍳👓🧯😡👌
继续找到文件:
![]() 看到是130 行这里定义了文件名,其中 $upload->attach['name']就是文件名,继续查下看,找到文件:
![]() 发现43行这里也对文件名进行了一次转换,所以开头问题就找到了。🧑🍳👜🪟😰🤳 因为 discuz_upload.php 是最后加载的,我们保留这里的转换功能,去掉前面 forum_upload.php 的转换:
这个文件的 130 行👦🛍📮😷✋
修改改成:
👍🗺🔪🅱🦚 ![]() 问题解决,保留了安全过滤功能,也能正常显示。 ![]()
帖子热度 4352 ℃
|
|
🧓🩰🛒🥲👏
我这个forum_upload.php怎么跟你的不一样啊
🤟🚤🌶♊🦖 我是应该把else的 $filename = dhtmlspecialchars($filename); 🧑🚀💍🩸😊👂 改成 $filename = $filename 👃🦼🍽🆘🕊 吗? |