遊客站內搜尋的錯誤[含1張圖]

IT_man · 發表於 2015-3-23 16:24:33

本帖最後由 IT_man 於 2015-3-23 16:27 編輯

遊客站內搜尋時出現 error message :

sol:
\source\class\discuz的discuz_application.php 約第350行
查找

private function _xss_check() {; L; |6 b! J) q" r
0 [$ z0 X* N$ \( ?( B5 d% }/ t
static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
4 Y% c3 ?- E/ Z2 {! {
( u: i3 x8 j4 q( B' D! r
if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {7 F" o( I& E( @* v' k8 s6 p! V
system_error('request_tainting');
; y+ W! L) u" z% N6 Q
}9 _7 S$ I7 a/ ^/ G- V4 ^7 `4 I3 f
& R: U! K+ C- g' I2 K, K
if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
% w# P" u5 ~4 E8 j# g
$temp = $_SERVER['REQUEST_URI'];
( [- g% u( K+ m/ R
} elseif(empty ($_GET['formhash'])) {
% ^4 Z$ B9 a/ U* R$ _/ H' a
$temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');' x N1 F, l6 g1 q T. d0 Z/ E) F
} else {$ E3 ?" O8 x, [7 I' E: A
$temp = '';
2 o5 a' L& ^+ j; } D
}0 {3 U, ^6 Y4 j& b# _* J
& n9 W6 E& X1 P; l: h$ A7 U
if(!empty($temp)) {
. J' n: S# }4 u& @' N' I( r% W1 V/ W
$temp = strtoupper(urldecode(urldecode($temp)));1 o3 j9 Z$ M0 J( ^6 R* s3 N; f
foreach ($check as $str) {
" s/ q4 o: H6 X# W
if(strpos($temp, $str) !== false) {
) l1 v9 ]' W! q, i* \+ E8 l
system_error('request_tainting');
- X+ g7 `) d) |! O0 [- Q' x( m
}
& i7 j" m! ]. l) r+ p
}& b3 ^, y, n7 N0 `3 x- c
}
, z7 g5 u) l s! D+ O7 ?
$ Q& q6 ?; C( |
return true;& P9 L! f) z/ o1 q$ y
}

複製代碼

替换为：

private function _xss_check() {
6 W! R U1 o8 h0 i
$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));5 L; l9 h) Y0 G: F4 n0 y
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {# J+ v9 x( @% V4 j( f
system_error('request_tainting');
5 o5 ~; H9 ]" H( u
}
1 s2 o" ~4 i; B; N' A5 E+ v
return true;
6 \/ B( K; R0 m% h+ c
}

複製代碼

后台更新缓存 ===>ok
但有些 discuz代碼內容在搜索結果內顯示,曝露在外,是不正常(會員搜索無此問題) ,研究中

		自動登錄	找回密碼
密碼			立即註冊

[Discuz X3.2] 遊客站內搜尋的錯誤[含1張圖]