DZ二开审核常见驳回理由

逝水年华 · 发表于 2022-3-4 16:25:13

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

01. 请使用 avatar($_G[‘uid’]); 生成用户头像地址 , 不能自己生成;

具体用法是第一个参数填写UID 第二个参数为空第三个参数为真

{avatar($_G['uid'],'',1)}

复制代码

02. 请使用 getuserprofile($field); 获取用户积分 , 不能自己查表;

03. 补充 $field 参数为 extcredits1或者用户的其他扩展属性;

此函数,提供一个参数,内容为用户的字段名,即可返回出来他值的内容

如:我要获取用户

威望::getuserprofile('extcredits1')

金钱: getuserprofile('extcredits2')

贡献:getuserprofile('extcredits3')

用户uid:getuserprofile(uid')

听从:getuserprofile('follower ')

收听:getuserprofile('following ')

主题:getuserprofile('threads')

04. 判定管理员可以使用$_G[‘adminid’]==1

05. 读库后有没有值要写判定;

06. 跨站防护措施:

显示前 => dhtmlspecialchars() 过滤适用于SQL中字符串数据显示在页面之前 , 如不过滤则存在 XSS 跨站脚本攻击漏洞。

入库前 => 如数字型 ID 执行 intval()，字符串数据执行 daddslashes()，

07. 设计数据库时应当设置常用查询条件为索引 , 以提高效率;

08. 在PHP 7.1 中自定义函数的参数没有默认值使用时又没有传值的时候会报错;

09. 应用介绍中不能出现 “第一” “永久” “无敌”等字眼;

10. 安装升级等脚本如果要适应安装网站前缀的使用 cdb_ 代替前缀即可;

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

独家记忆 · 发表于 2022-3-4 16:25:44

11. 请使用 $_GET[xxx] 或 $_COOKIE[xxx] 代替已废弃的 $_G[gp_xxx] 和 getgpc() 获取 GET/POST/COOKIE 变量数据;12. 写插件时候尽量使用语言包而不是直接将文字UTF8编码后写入PHP文件;
13. 关于JSON数据,遇到json数据需要使用 json_encode() 生成;
14. 关于JSON数据编码乱码问题,如果遇到编码问题可以使用 diconv() 函数来解决,判定编码使用常量 CHARSET 通常为 diconv函数的第一个参数 , 第二个为UTF8;

diconv($v,CHARSET,'utf8') //转码字符串输入字符集输出字符集

复制代码

15. 关于 diconv() 函数,这个函数会判定编码 , 如果当前编码和目标编码一致则不进行转换;
16. 关于 CHARSET 常量 , CHARSET 常量是用来判断当前网站所用编码的常量 , 常量中存储字符串 gbk , gb2312 , utf8 等;
17. 关于css.htm , 调用css.htm文件的时候不要房屋CSS文件夹,如果要放入就要在touch文件夹下面建立一个空的css文件,导致设置起来比较麻烦 , 所以下次写CSS.htm 的时候将这个文件创建在system文件夹下面;
18. 关于class快捷开发类库 , module/class目录中的PHP文件没有检测IN_DISCUZ , 即使是普通函数文件也要写 IN_DISCUZ 常量来判定来源;
19. 语言包中不能出现逻辑与 & 符号否则会出现数据无法识别 , 以及<br> 标签无法使用
20. FW在导出切片的时候会因为切片所在层的问题吧一张图片分为好几张 , 解决办法是将每个切片用子层分开;

拾光 · 发表于 2022-3-4 16:26:29

21. 过滤函数其实一直用错了 , 在有增删改的操作前使用 daddslashes 函数 , 而并非只是转义;

Filter 中的 dhtmlspecialchars 函数用错了地方 , 这里应该用 daddslashes 函数, 只要是执行SQL语句的变量都需要执行 daddslashes 函数过滤;

22. 语法错误的问题 !a==b 这是傻了???

23. 如果写的太乱后台人员有权怀疑你拼凑;

24. 安全函数GET错误 , 之前GET添加了参数 submitcheck('formhash',$get) $get=1 , 其实任何操作都要添加;

25. 单独的 main/class 中的文件没有验证来源;

26. 存在绝对路径??? , 看来这个插件中是审核是不能存在绝对路径的;

27. 错误提示信息乱码 , 这是一个调试信息 , 如果下次提交注意屏蔽不能被审核看到;

27. curl 如果要使用必须在说明文档里面进行阐述 , 如果是反盗版后期添加的模块则不用;

28. hash验证导致反盗版传参发生错误;

29. 读库后没有判定结果是否存在;

30. 有中文字符 , 但是没有使用语言包;

31. hash验证的常量 formhash 是有时间限制的 , 不能写人链接给用户 , 否则用户后期点击会显示链接失效;

32. 请使用 diconv() 代替 iconv() 以提高兼容性

33. 搜索需要使用 stripsearchkey() 函数进行过滤;

34. JS报错问题 , 是LAYUI出错了 , 新插件审核不允许JS报错

35. 横幅手机版导致变性 , 尽量处理一下;

36. 手机版使用电脑版的弹窗提交失败的问题;

37. 管理鉴权必须严格 , 用户不能访问某些页面;

38. 搜索表单没有屏蔽回车键 , 敲击回车提示插件不存在;

39. 移动端选项无法显示的问题;

40. 记录共同计数值的时候不能读出库在写入 , 要直接使用UP+1;

DB::query("UPDATE ".DB::table( 'zgxsh_mod_list' )." SET download_n=download_n+1 where id='".$id."'");

复制代码

TyCoding · 发表于 2022-3-4 16:26:43

41. 使用接口的时候都会进行远程发包, 发包时候用到的 CURL 原生函数官方不推荐使用 , 而官方推荐使用的函数是 dfsockopen(); 官方批注 , 请使用 dfsockopen() 代替原生 curl 访问远程 URL 以提高兼容性，如果必须使用 curl 应当在应用介绍中注明;
42. 计划任务开发中计划任务必须放进 cron 计划任务文件夹文件 , 计划任务文件必须以 cron_ 打头,并安装是附带空的安装或更新文件;

安装更新文件不确定,下次编写是不带试试;

43. 更新方法安装计划后不会第一时间出现 , 哟时候更新缓存后才会出现 , 然而只能识别 1 个计划任务 , 无法识别第二个;

44. 这是经验不是审核出现的诸多屁事 : 如果将一个元素的ID 和 name命名重复 , 将会导致IE无法识别无法兼容的BUG;

45. 非表单提交使用不了 submitcheck 的增删改请求，也要判断请求来源，建议使用 $_GET['formhash'] == formhash() 进行判断, 而不是 security::hash_if(1);

增删改才需要验证 formhash 页面跳转无需验证 formhash;

46. 关于LAYUI中的FORM和 laypage 在DZ弹窗中不能连用 , 连用表单无法出现 , 一般是 laypage 参数不齐全导致的 , 但是控制台不报错;

47. 弹窗时窗口弹出成功但是是一道白色的竖线这种情况通常是模版错误引起的 , 需要检查模版代码准确情况;

48. 后台设置TXT信息时在前端JS中显示报错，是因为有 \n \r 等标记 , 在显示前需要全部处理!

使用

<p class="MsoNormal"><span style="font-family: 微软雅黑; letter-spacing: 0pt; font-size: 9pt; background-image: initial; background-position: initial; background-size: initial; background-repeat: initial; background-attachment: initial; background-origin: initial; background-clip: initial;">$qian=array(" ","　","\t","\n","\r"); //定义要清除的字符</span></p><p class="MsoNormal"><span style="font-family: 微软雅黑; letter-spacing: 0pt; font-size: 9pt; background-image: initial; background-position: initial; background-size: initial; background-repeat: initial; background-attachment: initial; background-origin: initial; background-clip: initial;">$_TRC['help_txt'] = str_replace($qian,'',$_TRC['help_txt']); //用函数清理字符 </span></p>

复制代码

函数处理能够解决问题;

49. 语言包BUG记录二，一不小心在语言包里面加入了一个<br>标签,导致大多数页面下移 , 然后表单错位,网页顶部出现大量空行 , 这个BUG修改了1小时 , 下次要注意;

50. CLASS文件夹下面需要检查IN_DISCUZ;

Crystαl · 发表于 2022-3-4 16:26:54

51. 后台页面判定应该使用 defined('IN_ADMINCP');
头像框商城 ($_G['PHP_SELF']=="/admin.php" 这判断并不严谨，不是有defined('IN_ADMINCP')吗；在使用 $_G[uid] 实现逻辑前，未判断当前用户是否已经登录;
因为如果用户没登陆这玩意大致为假;

52. 软件截图太少 : 提交审核时不能上传图太少 , 指的是图片个数 , 这里用大长图是不行的;

53. 踩了大抗 : prompt提示面板应该传入独立的CSS文件 , 否则会造成仅在部分UTF-8的环境下报错的问题;
后测试是因为部分浏览器无法识别CSS文件中的中文注释导致 , 所以CSS文件不要有任何中文即可;
如果非得有中文就得是编码一致的UTF-8;

54. 中文人民币符号在UTF-8下乱码补充 , 这里所有的符号都必须写入语言包 , 因为符号也是有编码的;
如果符号不写入语言包则在其他编码下会显示乱码;

55. 权限判定不能 uid==1 也不能用 adminuid(自定义UID) 进行判定 , 这个可以自建函数判定 , 但是不能用于管理判定;

56. 动态引入不规范,访问用户空间绝对路径论坛在子目录下回出错 : 访问用户空间的地址必须为相对路径地址 , 不能用绝对路径;
否则论坛如果不在根目录就会报错;

57. 调试代码没有清理干净 : 就是输出代码这些 , 需要及时清理 , 粗心所致;

58. 审核会纠结于讨论admin 的问题,所以为了避免纠缠 , 请使用adminid == 1
具体用法就是使用G变量 $_G['adminid']==1 这个来判定是否是超管;

59. 整理此屁事时候注意 , 核心开发包里面可以出鉴权函数了 - 核心开发包鉴权系统第一阶段完善这是一条记录没有实际意义;

60. UTF_8编码下 LAYUI图标会乱码 , 最好的是用font_class 形式显示;
这个和上面的图标乱码类似但是不是一回事 , 因为LAYUI的图标都是UTF编码所以不能在GBK使用
但是如果只是小图标则可以用 font_class 形式显示;

婷姐 · 发表于 2022-3-4 16:27:36

61. 升级程序中可通过 $fromversion 和 $toversion 变量判断升级的具体版本号;

62. module/class/extension.php应当使用 dfsockopen() 代替原生 curl 访问远程 URL，以提高插件的兼容性；
dfsockopen() 确实好用 , 但是无法兼容低版本PHP; (无法兼容5.3一下版本不包括5.3)

63. 在循环中执行数据库查询效率低下，应当使用 WHERE IN() 等方法进行优化;
为此核心函数中更新了专门输出IN 序列的函数;

64. extension 函数包 , 不执行fsockopen的问题 , 导致插件鉴权失效的问题 , 可以尝试手动添加鉴权信息解决该问题; 清理中的函数包已经更新过 , 后面不在更新其他了;

65. 中心规定将所有函数类调用改为 require_once 防止重复调用将所有扩展类调用改为 @include_once 屏蔽报错
模版类调用可以继续使用 include

66. 弹窗CSS样式中不得有 /*任何中文*/ 否则弹窗无法弹出这个和上面一条重复了 , 但是再次记录一下;

67. 会报错 s.indexOf('ajaxerror') != -1 错误 s 变量没有值;
这是个前端报错 , JS layui 的翻页出错了 , 是S查询变量没有值;

68. 手机版模版长度报错屏蔽手机版JS调用就行;

目前还未知会产生啥BUG;

69. 具有上传功能的应用在卸载时候应该删除其上传的图;

70. 函数传入的数组变量必须用 $xx = array(); 来定义;
函数定义 function XXX($xx = array()){} 如果参数为数组则要用数组构建函数来定义参数;