首页 > CMS教程 > Discuz

UCenter防止恶意访问(安全加固)

来自:互联网
时间:2020-02-22
阅读:

功能说明:uc_server/admin.php是ucenter默认的后台地址,正常情况下可以直接访问,为了防止某些恶意访问的情况,可以修改以下内容进行安全性能提升。

适用版本:Discuz!x1-x3.4适用情况:ucenter在论坛根目录下

修改后效果:未登录Discuz论坛或不在指定的管理组,打开uc_server/admin.php提示404

具体实施方案:

打开uc_server/model/admin.php

搜索

$this->cookie_status = isset($_COOKIE['sid']) ? 1 : 0;

在下面加入以下代码

if(!$this->cookie_status){
                        include UC_ROOT.'../config/config_global.php';
                        $cookiepre = $_config['cookie']['cookiepre'].substr(md5($_config['cookie']['cookiepath'].'|'.$_config['cookie']['cookiedomAIn']), 0, 4).'_';
                        $auth = addslashes($_COOKIE[$cookiepre.'auth']);
                        if(empty($_config['cookie']['saltkey'])) {
                                $_config['cookie']['saltkey'] = addslashes($_COOKIE[$cookiepre.'saltkey']);
                        }
                        $authkey = md5($_config['security']['authkey'].$_config['cookie']['saltkey']);
                        $auth = daddslashes(explode("t", $this->dauthcode($auth, 'DECODE',$authkey)));
                        list($discuz_pw, $discuz_uid) = empty($auth) || count($auth) < 2 ? array('', '') : $auth;
                        $discuz_uid = intval($discuz_uid);
                        $groupid = $this->db->result_first("SELECT groupid FROM ".$_config['db'][1]['tablepre']."common_member WHERE uid='$discuz_uid'");
                        if(!in_array($groupid,array('1','2'))){
                                 header("HTTP/1.1 404 Not Found");header("Status: 404 Not Found");exit;
                        }
                }

其中这里增加用户组:

array('1','2')

搜索

function __construct() {
                $this->adminbase();
        }

后面加入

function dauthcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
                $ckey_length = 4;
                $key = md5($key );
                $keya = md5(substr($key, 0, 16));
                $keyb = md5(substr($key, 16, 16));
                $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
                $cryptkey = $keya.md5($keya.$keyc);
                $key_length = strlen($cryptkey);
                $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
                $string_length = strlen($string);
                $result = '';
                $box = range(0, 255);
                $rndkey = array();
                for($i = 0; $i <= 255; $i++) {
                        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
                }
                for($j = $i = 0; $i < 256; $i++) {
                        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
                        $tmp = $box[$i];
                        $box[$i] = $box[$j];
                        $box[$j] = $tmp;
                }
                for($a = $j = $i = 0; $i < $string_length; $i++) {
                        $a = ($a + 1) % 256;
                        $j = ($j + $box[$a]) % 256;
                        $tmp = $box[$a];
                        $box[$a] = $box[$j];
                        $box[$j] = $tmp;
                        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
                }
                if($operation == 'DECODE') {
                        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
                                return substr($result, 26);
                        } else {
                                return '';
                        }
                } else {
                        return $keyc.str_replace('=', '', base64_encode($result));
                }
        }
最新文章 相关文章

Discuz开启Gzip压缩多种方法汇总

目录Discuz开启Gzip压缩方法通过 index.php 启用GzipWordPress GZippy 插件设置 .htaccess 文件设置php.ini文件cPanel 面板网站优化选项总结HTTP压缩是在Web服务器和浏览器

2023-07-25 13:33:16

discuz如何去掉forum.php

Discuz是一款流行的开源论坛软件,广泛应用于各种网站中。在使用Discuz建立论坛网站时,许多站长都想去掉论坛地址中的"forum.php",以达到美化网站的目的。本文将详细介绍如何去

2023-05-29 20:44:26

探讨如何设置 DZ 论坛的 php.ini 文件

随着社交媒体的兴起,论坛的重要性逐渐被忽略了。然而,对于那些需要大量讨论的网站(尤其是开源项目),论坛仍然是不可或缺的。由于 Discuz!(DZ)是中国最受欢迎的论坛软件,因此本文将探

2023-04-21 14:37:19

Discuz怎么恢复和备份站点数据库

今天给大家分享一下Discuz怎么恢复和备份站点数据库的方法,还有一些要注意的一些细节问题,小编都在此一一给大家讲解了,希望文章能帮助到大家解决问题。备份和恢复

2023-03-09 00:02:06

discuz showsetting函数之radio表单

radio表单就比较常用了,直接说个例子:showsetting(&#39;党员?&#39;, &#39;type&#39;, 0, &#39;radio&#39;); // type是radio的name值,0即使radio的值生成的效果如下:但是这个选项

2022-04-27 13:34:04

discuz批量删除指定帖子下的所有回复SQL语句

delete from pre_forum_post where tid=123 and first != 1;

2022-04-27 13:32:50

去除Discuz!帖子列表页发帖时间和最后发表的时间方法

删除template/default/forum/forumdisplay_list.htm 文件中的下列代码即可实现删除版块里的列表页的作者下面的发帖时间 $thread[dateline]如找不到上述代码可搜索$thread[d

2022-01-28 22:48:37

Discuz! 修改TAG标签标题教程

打击首先看看默认的标签页标题的格式:
  
标签 - 标签词语 -站点名称
  
下面我们就修改这个标题,把签名的标签与-去掉只留下标签词语跟站点名
  
首先打开/source/modu

2022-01-24 23:22:39

Discuz!主题列表封面图片缩略图尺寸修改教程

今天在搞网站的时候,发现主题列表的缩略图一直都是120x120,非常模糊,影响观感。到现在才在网上找到关于discuz分类信息调用图片字段为什么会自动缩略成120x120;在discuzX系统的

2022-01-24 23:20:53

Discuz!教程 如何设置上传的某些类型附件不改为.attach拓展名

使用Discuz!的朋友们会发现Discuz!在上传某些类型附件的附件,比如pdf、exe的时候会自动将拓展名改成.attach形式。很多站长为了方便管理附件文件,不希望某些类型的拓展名被改

2022-01-24 20:10:07

Discuz附件下载权限绕过方法的漏洞

越权下载含有“阅读权限”的插件、下载插件免扣币重现步骤:1、使用管理员账户,上传一个有高阅读权限的附件 2、使用低权限的用户账户,下载附件,这个时候,Discuz会提示

2022-01-22 11:54:39

discuz!x模板里遍历数组 打印数组方法

discuz!x模板里遍历数组 打印数组方法语法代码如下:<!--{loop $post $key $val}--> <div {if $key % 2 == 1}style="background: #ccc;"{/if}> 数组第{$key}个

2022-01-08 22:42:57

Discuz手机版获取论坛里回复帖子内容代码教程

Discuz手机版获取论坛里回复帖子内容代码教程代码如下:<!--{eval $lapost = DB::fetch_all("SELECT * FROM ".DB::table(&#39;forum_post&#39;)." WHERE `first`= 0 ORDER BY

2022-01-03 22:40:12

Discuz!论坛 转换远程附件为本地附件的方法

Discuz!论坛 转换远程附件为本地附件的方法找到论坛程序文件config/config_global.php,
用记事本打开该文件,
然后查找$_config[&lsquo;security&rsquo;][&lsquo;querysafe&rs

2021-12-28 23:39:15

Discuz论坛标题和底部去掉版权信息实例讲解

需求:一、标题:打开template/default/common/header_common.htm文件,里面的代码如下<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/

2021-06-03 14:43:30

discuz3.4特殊字符乱码怎么解决

Discuz!3.4升级后,贴子内容使用Unicode编码会出现直接显示源码问题打开:source\function\function_core.php$string = str_replace(array(&#39;&&#39;, &#39;"&#39;, &#39;<&#

2021-03-16 22:02:36

discuz图片处理缩略图显示的方法介绍

function thumblist($pid, $width = 0, $height = 0, $maximgcount = 3, $tid = 0){ global $_G; if(!$pid) return array(); $width = intval($width); $heigh

2020-12-30 23:11:13

Discuz!X3.4论坛 防灌水设置 不允许回复纯数字、或纯字母

假如对方回复不了设置的5个中文,会提示对方:请尊重别人劳动成果,严禁恶意灌水!必须输入5个中文以上!乱灌水会被封号处理!不一定设置5个,可以根据你的站点随意设置!1:打开source\inclu

2020-12-17 10:07:27

安装和配置discuz的方法介绍

discuz安装配置准备 LAMP 环境LAMP 是 Linux、Apache、MySQL 和 PHP 的缩写,是 Discuz 论坛系统依赖的基础运行环境。我们先来准备 LAMP 环境如果没有云服务器可以使用腾讯云

2020-12-16 18:24:53

使用URLOS快速创建Discuz论坛的方法

关于DiscuzDiscuz是国内最大最多人使用的论坛社区系统,自2001年6月面世以来,Discuz!已拥有15年以上的应用历史和200多万网站用户案例,是全球成熟度最高、覆盖率最大的论坛软件

2020-12-11 18:14:35

Discuz论坛对服务器的请求已遭到某个扩展程序的阻止问题解决方法

Discuz论坛后台有“站点广告”功能,站长可以自己添加广告。当你准备添加广告的时候,有没有遇到过后台显示“对服务器的请求已遭到某个扩展程序的阻止”这

2020-12-09 18:59:08

Discuz开启HTTPS后UCenter通信失败解决方法

近日,有客户给自己的Discuz X3.2版本论坛开启HTTPS后,发现UCenter通信一直失败,在网上找了好几种办法都没有得到有效解决。通过测试发现,UCenter通信失败出现在做完301重定向后,

2020-12-09 18:49:51

Discuz!论坛管理员后台登录不进去的解决方法

Discuz!论坛管理员后台登录不进去怎么解决。问题是这样的:论坛升级后,登录管理员后台却发现登录不进去,账户、密码还有安全问题都正确,但点击“提交”后仍然是登录页

2020-12-09 18:48:39

Discuz论坛禁止匿名发贴,却出现匿名发帖或回复?找不到发帖用户,DZ如何禁止匿名发帖修改教

最近发现论坛已经禁止所有用户组匿名发贴,禁止版块匿名发帖功能,但是论坛却一直有匿名发布的帖子?在论坛的后台也找不到发帖者用户名,而且帖子数据表中UID为空。只有一种原因那

2020-12-08 21:25:10

Discuz论坛建站常用的几大插件推荐

现在很多站长都会使用Discuz开源程序来搭建论坛网站,由于Discuz程序功能强大、设置简单,更重要的是,Discuz程序现在也支持安装插件功能,因而备受广大站长用户的喜爱。


如果

2020-12-07 19:14:35

删除版块全部主题一整行文字提示

打开1. 模板目录:template/default/forum/forumdisplay_list.htm搜索删除以上代码全部修改前修改后如果需要文字的话在删除代码的位置添加一行代码(文字自己拿主意)如图;文字

2020-10-28 16:02:28

Discuz编辑器H5上传

传统的flash上传方式已被很多主流浏览器所抛弃,HTML5上传是大势所趋。接下来为大家介绍一下Discuz编辑器flash上传图片改为H5图片上传的方法,有需要的小伙伴可以参考一下:1、准

2020-10-22 11:16:41

discuz 主题列表调用版块名称方法

直接上代码,喜欢的欢迎转载收藏:<!--{template common/header}--><!-- header start --><header class="header"> <div class="nav"> <div class="y"><a href="forum.php?

2020-09-03 20:37:26

discuz!主题列表页显示每个帖子的版块名

如何让discuz!主题列表页显示每个帖子的版块名?很多同学可能不解,为什么要这么做?当我在A版块时这些帖子当然都属于A版块了,这个一看就知道了,何必加这一项?其实不然,至少全局置顶

2020-09-03 20:32:28

discuz主题列表调用函数详细说明,主题列表页模板(Forumdisplay.htm)修改教程

主题列表页模板(Forumdisplay.htm)注释大全<!--**********************Forumdisplay.htm模板注释开始*********************************--> <!--*载入头部模板 header.htm*

2020-09-03 20:28:38

热点内容

discuz论坛首页默认显示单个特定的版块,及自定义论坛首页固定标题
2018-08-27
Discuz! 主题列表封面图片缩略图尺寸修改教程
2018-08-27
Discuz页面打开空白的原因以及解决办法
2019-08-05
Discuz! 手机版导读热贴(最新热门)不显示问题的解决方法
2020-02-12
Discuz! 网站更换域名的详细设置以及修改教程
2018-08-27
"您当前访问请求中含有非法字符" 友好兼容解决方案
2020-02-19
Discuz帖子列表开启图片列表模式,如何修改图片尺寸
2018-08-27
Discuz提示Table 'common_session' doesn't exist错误的解决方法
2019-08-05
Discuz提示“未定义操作”常见原因分析及解决办法
2019-08-05
Discuz! 去掉版块前面的版块图标的方法
2018-08-27
返回顶部
顶部