session_register("time");
}
看起来Cookie需要发送到客户端,攻击者可以删除该Cookie,好象Session比较安全些,在服务器端。不过实际上我认为应该是差不多的。因为他是连续发送,中间的间隔时间很短,来不急去删除该Cookie的。但也不排除自己编段小程序来删除Cookie。为了万全,还是使用Session吧。Session方式的文件为"session_pm.php",去掉前面的"session_"然后覆盖到Discuz目录下,记得备份原Discuz目录下的pm.php,以免出错后可以挽回。
如果希望用Cookie的方式来防止攻击的哈,就用这个"cookie_pm.php"吧。把前面的"cookie_"去掉,然后覆盖到Discuz目录下,最好先备份Discuz目录下的pm.php文件。
二,对于以上提高效率的攻击的防止办法
将第86行后加入以下代码
$pmsubmit=$_POST[’pmsubmit’];
$msgto=$_POST[’msgto’];
$subject=$_POST[’subject’];
$message=$_POST[’message’];
OK,这下上面所说的的高效攻击方法失效了。
最后,付上两个修改好的pm.php文件(http://www.4ngel.net/img/pm.rar)。一个为cookie方式,一个为session方式。如果你是直接使用上面文件中的一样,请将文件名改为pm.php然后在覆盖到discuz目录下,再进入管理远后台的:界面风格->模板套系
下编辑:Discuz! 语言包 下的 templates 选项。搜索"pm_box_isfull",把
’pm_box_isfull’ => ’您的信箱已满,在阅读短消息前必须删除一些不用的信息。’,
改为以下内容:
’pm_box_isfull’ => ’您的信箱已满,在阅读短消息前必须删除一些不用的信息。’,
’pm_send_partition’ => ’对不起,你两次发信的时间间隔还不到2分钟。’,
’pm_nonexistence’ => ’对不起,短消息不存在或已被删除。’
特别感谢金玄网(http://www.gixuan.net)的金玄给予大力的支持和帮助。其实discuz论坛还是个未成熟的论坛。还有一些大大小小的漏洞。希望开发者们能注意。
(本文由责任编辑 pasu 整理发布)
更多关于Discuz论坛内容来自木庄网络博客
标签:Discuz论坛
相关阅读 >>
更多相关阅读请进入《Discuz论坛》频道 >>