Discuz 附件名符号&会变成&原创 |
|
在Discuz上传附件文件时,会把html字符 <> & " ' 转换成html实体字符,这样的好处是防止一些恶意用户写入JavaScript代码,造成安全隐患,如:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。
在论坛上传附件时(上传的文件名会保存在数据库里面,所以我们只要找到在什么地方写入数据库,就能修改啦),系统会把名字为 图片&视频.zip 的附件改成
👎🔥🍭📵🐠看样子是系统转换html字符出现了BUG,导致 & 被转移了多次。 开始定位问题。  通过浏览器网络请求发现上传相关的URL为: ✌🗺🍍♂🐴
那就在系统代码里面找到文件:
找到关键代码: 👊🗽🍟📵🐻
继续找到文件:
👦👖⚔🥰🦴 看到是130 行这里定义了文件名,其中 $upload->attach['name']就是文件名,继续查下看,找到文件:
发现43行这里也对文件名进行了一次转换,所以开头问题就找到了。 👁🌕🍖🆗🕊 因为 discuz_upload.php 是最后加载的,我们保留这里的转换功能,去掉前面 forum_upload.php 的转换:
这个文件的 130 行 💪🚠🍖🚭🐉
修改改成:
👃🗼🦞®🪶 
问题解决,保留了安全过滤功能,也能正常显示。
帖子热度 3954 ℃
|
|
|
变色卡|
🧑🎤🛍🪜😡🦴
我这个forum_upload.php怎么跟你的不一样啊
👈🌡🔪🚷 我是应该把else的 $filename = dhtmlspecialchars($filename); 💪🗺🍒📳🐻 改成 $filename = $filename 👦🧦📏🥱👂 吗? 
forum_upload.zip
|
古黑论管理员,在论坛上有什么问题都可以找他。