遊客站內搜尋的錯誤[含1張圖]

IT_man · 發表於 2015-3-23 16:24:33

本帖最後由 IT_man 於 2015-3-23 16:27 編輯

遊客站內搜尋時出現 error message :

sol:
\source\class\discuz的discuz_application.php 約第350行
查找

private function _xss_check() {1 p9 j$ V" x# r& N, }& h$ F
$ g# h9 h# r$ e8 l0 i
static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
. y4 I! _+ R6 i0 n# T6 n5 m
! l! D( [! O4 D$ g3 S; z# \
if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
6 N j4 F2 C+ ~3 |, d
system_error('request_tainting');
1 P$ @9 l5 R- n8 @9 M) @9 ~2 f
}
. b8 q' X, ^# ^- G
( Z, ^7 t" P, Y$ I
if($_SERVER['REQUEST_METHOD'] == 'GET' ) {- y( u( G! w6 p( n" n: S* d
$temp = $_SERVER['REQUEST_URI'];! A! o9 ^' S" \8 ?+ Z1 l
} elseif(empty ($_GET['formhash'])) {
3 W: V0 q6 H6 _$ V8 F5 I% R
$temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');& R. E: Q$ q! U9 a- g4 a" C- t% X' {
} else {
/ Z; x2 w9 B6 A" d2 M. d# i
$temp = '';, M; p: P# E z L* C! v8 U
}6 @2 U" Y* m2 F8 s
c% Y( T% W8 M& [. U* R0 O
if(!empty($temp)) {
$temp = strtoupper(urldecode(urldecode($temp)));
# K2 L& q4 |" T$ B+ j
foreach ($check as $str) {% L7 Y; F% _( x9 R+ T4 C7 Z
if(strpos($temp, $str) !== false) {* G3 E7 k o$ A4 k* T+ N8 h* Z% G
system_error('request_tainting');- P P) n" h! a9 N! G' E' J
}* `, G7 [, h2 p% w' W2 ~/ w' y7 f' c# o
}1 K% _% A- [$ D& f- E% a1 Z
}" [/ K: v# M/ D" x2 c
; d4 Y" G! c7 l7 e, p3 W
return true;# E7 l/ p) i( Q$ L; P/ w
}

複製代碼

替换为：

private function _xss_check() {) ^! {4 [, W5 Q$ W, K
$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));- H v8 Y! T; F7 ^" |# m
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
4 }% s6 _2 \ b$ i' Z, P+ ^
system_error('request_tainting');
4 p2 y# g8 o& w2 |- u5 R. z
}( |/ a$ c% ^$ z0 I
return true;
* r$ u; f! z) k3 I0 W0 [" |
}

複製代碼

后台更新缓存 ===>ok
但有些 discuz代碼內容在搜索結果內顯示,曝露在外,是不正常(會員搜索無此問題) ,研究中

		自動登錄	找回密碼
密碼			立即註冊

[Discuz X3.2] 遊客站內搜尋的錯誤[含1張圖]