火急求助，關(guān)于formhash校驗(yàn)

ysx24

增加的formhash校驗(yàn)提升安全的同時(shí)也帶來不小的麻煩
比如一些插件直接失效，特別是一些上傳類、網(wǎng)盤類插件、手機(jī)端能使用但無法刪除圖片和附件
特別一些19年斷更的經(jīng)典插件更是直接下崗、
作者不是聯(lián)系不上就是說了問題但沒了下文

現(xiàn)在formhash校驗(yàn)給我的作用弊遠(yuǎn)遠(yuǎn)遠(yuǎn)遠(yuǎn)大于利
從哪里去掉formhash校驗(yàn)，十分懇請(qǐng)幫助
還有就是不明白為什么formhash校驗(yàn)限制手機(jī)版刪附件，而古董級(jí)的pc模板絲毫不受影響，只限制手機(jī)端的作用是什么

1 貢獻(xiàn)+3 金幣

最佳答案

ysx24 發(fā)表于 2023-1-27 14:11
這個(gè)剛剛試了搜不到，老周大大快說說方法

upload/source/module/forum/forum_ajax.php
找到：

1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

復(fù)制代碼

改成：

1. if(isset($_GET['aids'])) {

復(fù)制代碼

此修改會(huì)關(guān)閉刪除附件功能的 CSRF 校驗(yàn)，由此導(dǎo)致的安全風(fēng)險(xiǎn)自擔(dān)

• 老周部落
• 發(fā)表于2023-1-27 14:20:08
• 詳細(xì)答案 >

ysx24

除了手機(jī)模板添加formhash 參數(shù)外，如果一些啟用插件沒有formhash參數(shù)，就會(huì)導(dǎo)致所有版塊在手機(jī)端無法刪除，就比如xx網(wǎng)盤，要想手機(jī)刪圖必須要關(guān)閉它，回到11月20號(hào)之前的版本測試無此問題

湖中沉

PC端向來都是有formhash的，完善的是手機(jī)端的安全性，PC端本來就是那樣做的，是安全了的（因?yàn)橐郧笆謾C(jī)端很簡陋）

幸福

為了安全，沒必要，制作好手機(jī)端安全就好！

ysx24

湖中沉 發(fā)表于 2023-1-27 09:50
PC端向來都是有formhash的，完善的是手機(jī)端的安全性，PC端本來就是那樣做的，是安全了的（因?yàn)橐郧笆謾C(jī)端很 ...

能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可，不至于插件因?yàn)閒ormhash問題在手機(jī)版集體趴窩
已知集中在上傳類、網(wǎng)盤類插件，問題就是能上傳附件不能刪除附件和圖片，因技術(shù)有限改出了很多問題

湖中沉

ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可，不至于插件因?yàn)閒ormhash ...

插件適配程序才對(duì)，難道程序反向適配不安全的行為？這邏輯上就錯(cuò)了啊。

自己不會(huì)改，找開發(fā)者或其他技術(shù)人員處理啊。

ysx24

湖中沉 發(fā)表于 2023-1-27 10:16
插件適配程序才對(duì)，難道程序反向適配不安全的行為？這邏輯上就錯(cuò)了啊。

自己不會(huì)改，找開發(fā)者或其他技術(shù) ...

如果找技術(shù)人員就不會(huì)來這里發(fā)帖了
只一款插件還可以，如果把有問題的羅列出來找人修改成本會(huì)很高
如一個(gè)網(wǎng)盤插件，全部用的系統(tǒng)函數(shù)，壓根就沒有formhash參數(shù)，加了也識(shí)別不出來
要全部重寫代碼架構(gòu)

湖中沉

ysx24 發(fā)表于 2023-1-27 10:33
如果找技術(shù)人員就不會(huì)來這里發(fā)帖了
只一款插件還可以，如果把有問題的羅列出來找人修改成本會(huì)很高
如一個(gè) ...

你自己的猜測我不評(píng)論……安全問題是第一位的，其他都得靠后

ysx24

湖中沉 發(fā)表于 2023-1-27 10:45
你自己的猜測我不評(píng)論……安全問題是第一位的，其他都得靠后

可以負(fù)責(zé)任的說，這不是猜測，如假包換

哎…算了，不行回滾11月20號(hào)之前的版本鏡像止步，不過要丟失大量數(shù)據(jù)，但起碼能用
測試升級(jí)3.5后發(fā)現(xiàn)此類問題更嚴(yán)重，暴擊加倍那種
一度懷疑加的這個(gè)手機(jī)formhash 是為了安全還是為了創(chuàng)收，小白的驚喜

老周部落

ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可，不至于插件因?yàn)閒ormhash ...

沒辦法，要能這么處理肯定就這么處理了。
主要是處理不了，又是必須修復(fù)的安全問題，那就沒辦法了。