|
|
注意首先记得备份好原始文件。
以下教程也适用于Discuz ! X3.4以下版本。
discuz默认是只要有密码就可以修改邮箱,这样当用户账号被盗之后,黑客可以修改掉用户的注册邮箱,从而实现完全的将被盗用户账号占为己有,非常不安全。
修改文件:
template\default\home\spacecp_profile.htm
查找
- <input type="text" name="emailnew" id="emailnew" value="$space[email]" class="px" />
替换为:
- <input type="text" name="emailnew" id="emailnew" value="$space[email]" disabled />
这样修改之后,发现修改邮箱的编辑框就不可用了,无法修改邮箱。但是这样还不够,现在只是从前端禁止了在编辑框内输入邮箱,但是我们完全可以用firebug之类工具修改编辑框的属性 ,把disabled属性去掉,就可以正常编辑了;甚至可以直接伪造数据包发给服务器,服务器端会乖乖给你修改的。
所以如果想彻底防止修改邮箱,还必需修改程序文件,在服务器端也做限制,具体方法:
修改文件:source\include\spacecp\spacecp_profile.php
查找
- $emailnew = dhtmlspecialchars($_GET['emailnew']);
替换为
- $emailnew = $_G['member']['email'];
|
|
发表于
2023-4-25 01:29:27
