http://blog.sixi.ml/plus/15.htmlHYAPP:465202
用途:防止小型空间提供商提供给其它人的空间,别人做的网站存在漏洞,导致旁注,使站点挂!
文件名:t_hook t_bottom_box.hook
请在 View\admin\footer.html开头中增加{hook t_bottom_box}
if (pathinfo($_SERVER['SCRIPT_FILENAME'], PATHINFO_BASENAME) != 'index.php') { ref_check(); } function ref_check() { $referer_url = isset($_SERVER['HTTP_REFERER']) ? filter_var($_SERVER['HTTP_REFERER'], FILTER_VALIDATE_URL) : NULL; //如果POST提交没有任何来源,则直接拒绝 if ($_SERVER['REQUEST_METHOD'] === 'POST' && empty($referer_url)) { header('HTTP/1.0 403 Forbidden'); echo '<h1>Forbidden</h1>'; exit(); } //只验证POST提交,不验证GET提交 if ($_SERVER['REQUEST_METHOD'] === 'POST') { $referer_host = parse_url($referer_url, PHP_URL_HOST); $referer_path = parse_url($referer_url, PHP_URL_PATH); if (substr($referer_path, -1) === '/') { $referer_path .= 'index.php'; } $referer_path = dirname($referer_path); $admin_url = 'http://' . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI']; $admin_host = $INDEX_PATH!/admin $admin_path = $INDEX_PATH! if (substr($admin_path, -1) === '/') { $admin_path .= 'index.php'; } $admin_path = dirname($admin_path); if (REF_CHECK_DEBUG) { echo "Ref URL: {$referer_url}<br />\r\n"; echo "Ref Host: {$referer_host}<br />\r\n"; echo "Ref Path: {$referer_path}<br />\r\n"; echo "Admin Host: {$admin_host}<br />\r\n"; echo "Admin Path: {$admin_path}<br />\r\n"; } //如果来源地址和后台地址不符,则拒绝 if ($admin_host != $referer_host || $admin_path != $referer_path) { header('HTTP/1.0 403 Forbidden'); echo '<h1>Forbidden</h1>'; exit(); } } }
暂时只支持官方模板,如果需要其他模板支持,请在模板的f.html (footer.html\footer.php……)中加入{hook t_bottom_box}
BUG反馈:
http://blog.sixi.ml/plus/15.html
465202
发表于 2016-7-25
@admin
评论列表
加载数据中...
admin
发表于 2016-7-25
抱歉, 你这个插件并没有作用.
论坛程序每次访问都是经过index.php进行解析运行的
所以 你的程序第一句就已经不管用了
还有就是 论坛管理员有两个加密 一个cookie 一个session 以及 IP变更
所以安全性是很高的
评论列表
加载数据中...
intern
发表于 2016-7-26
虽然admin说没用但是你这种行为还是值得鼓励的!
对了,你博客里的标题写错了"HTBBS",这里对你说一下~
评论列表
加载数据中...