Discuz!x3.4 分类信息爆库和表名称 BUG修复
BUG:在分类信息表不存在时,x3.4不提示过滤(x3.3一点事没有),会直接系统错误,导致库名和表名泄露了~安全部门会要求整改~需要自己补下\source\module\forum\forum_forumdisplay.php
487行
在
$sortid = intval($_GET['sortid']);
下面添加: //判断分类信息id是否存在
$sortid_check = DB::result_first('SELECT sortid FROM '.DB::table('forum_typevar').' WHERE sortid='.$sortid.'order by sortid asc');
if(empty($sortid_check)){
showmessage('forum_nonexistence', 'forum.php?mod=forumdisplay&fid='.$_G);
}
页:
[1]