·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
🔄最新发布📃文档资料库🆔加群看共享切换到窄版
立即注册
DZ插件网»🏠首页 Discuz!交流与探讨 Discuz!问题求助 火急求助,关于formhash校验
返回列表 发布新帖

火急求助,关于formhash校验

329 9
发表于 2023-1-29 21:40:18 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
增加的formhash校验提升安全的同时也带来不小的麻烦
比如一些插件直接失效,特别是一些上传类、网盘类插件、手机端能使用但无法删除图片和附件
特别一些19年断更的经典插件更是直接下岗、
作者不是联系不上就是说了问题但没了下文

现在formhash校验给我的作用弊远远远远大于利
从哪里去掉formhash校验,十分恳请帮助
还有就是不明白为什么formhash校验限制手机版删附件,而古董级的pc模板丝毫不受影响,只限制手机端的作用是什么5 金币+3 金币最佳答案

      
ysx24 发表于 2023-1-27 14:11
这个刚刚试了搜不到,老周大大快说说方法
upload/source/module/forum/forum_ajax.php
找到:
  1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {
复制代码
改成:
  1. if(isset($_GET['aids'])) {
复制代码

此修改会关闭删除附件功能的 CSRF 校验,由此导致的安全风险自担

    火急求助,关于formhash校验 求助,关于,校验,增加,增加的 老周部落发表于
  • 详细答案 >
求助, 关于, 校验, 增加, 增加的
我要说一句 收起回复
赞赏
回复

使用道具 举报

相关帖子
创宇盾启航版免费网站防御网站加速服务

评论9

CrystαlLv.8 发表于 2023-1-29 21:40:49 | 查看全部
除了手机模板添加formhash 参数外,如果一些启用插件没有formhash参数,就会导致所有版块在手机端无法删除,就比如xx网盘,要想手机删图必须要关闭它,回到11月20号之前的版本测试无此问题
我要说一句 收起回复
回复 支持 反对

使用道具 举报

CrystαlLv.8 发表于 2023-1-29 21:41:42 | 查看全部
PC端向来都是有formhash的,完善的是手机端的安全性,PC端本来就是那样做的,是安全了的(因为以前手机端很简陋)
我要说一句 收起回复
回复 支持 反对

使用道具 举报

TyCodingLv.8 发表于 2023-1-29 21:42:01 | 查看全部
为了安全,没必要,制作好手机端安全就好!
我要说一句 收起回复
回复 支持 反对

使用道具 举报

IT618发布Lv.8 发表于 2023-1-29 21:42:25 | 查看全部
湖中沉 发表于 2023-1-27 09:50
PC端向来都是有formhash的,完善的是手机端的安全性,PC端本来就是那样做的,是安全了的(因为以前手机端很 ...
能不增在系统增加适配所有插件的参数
然后在支持手机端的插件加入这个参数即可,不至于插件因为formhash问题在手机版集体趴窝
已知集中在上传类、网盘类插件,问题就是能上传附件不能删除附件和图片,因技术有限改出了很多问题
我要说一句 收起回复
回复 支持 反对

使用道具 举报

婷姐Lv.8 发表于 2023-1-29 21:42:40 | 查看全部
插件适配程序才对,难道程序反向适配不安全的行为?这逻辑上就错了啊。

自己不会改,找开发者或其他技术人员处理啊。
我要说一句 收起回复
回复 支持 反对

使用道具 举报

浅生Lv.8 发表于 2023-1-29 21:43:35 | 查看全部
湖中沉 发表于 2023-1-27 10:16
插件适配程序才对,难道程序反向适配不安全的行为?这逻辑上就错了啊。

自己不会改,找开发者或其他技术 ...
如果找技术人员就不会来这里发帖了
只一款插件还可以,如果把有问题的罗列出来找人修改成本会很高
如一个网盘插件,全部用的系统函数,压根就没有formhash参数,加了也识别不出来
要全部重写代码架构
我要说一句 收起回复
回复 支持 反对

使用道具 举报

婷姐Lv.8 发表于 2023-1-29 21:44:02 | 查看全部
你自己的猜测我不评论……安全问题是第一位的,其他都得靠后
我要说一句 收起回复
回复 支持 反对

使用道具 举报

拾光Lv.8 发表于 2023-1-29 21:44:18 | 查看全部
湖中沉 发表于 2023-1-27 10:45
你自己的猜测我不评论……安全问题是第一位的,其他都得靠后
可以负责任的说,这不是猜测,如假包换

哎…算了,不行回滚11月20号之前的版本镜像止步,不过要丢失大量数据,但起码能用
测试升级3.5后发现此类问题更严重,暴击加倍那种
一度怀疑加的这个手机formhash 是为了安全还是为了创收,小白的惊喜
我要说一句 收起回复
回复 支持 反对

使用道具 举报

独家记忆Lv.8 发表于 2023-1-29 21:44:57 | 查看全部
没办法,要能这么处理肯定就这么处理了。
主要是处理不了,又是必须修复的安全问题,那就没办法了。
我要说一句 收起回复
回复 支持 反对

使用道具 举报

返回列表 发布新帖

回复
 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务

关于我们

关于我们 免责声明 应用市场 下载中心

服务支持

有问必答 优秀站点 常见问题 建站必看
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.226.82.144,GMT+8, 2024-11-9 03:44 , Processed in 0.300569 second(s), 133 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
 QQ客服返回顶部
快速回复 返回顶部 返回列表