很多站长UC后台创始人密码无故被改,UC目录下多出莫名的php文件,论坛被挂马,UC文件被写一句话等问题安全修复加强:
UC_KEY泄露后,头像功能有可能被用于上传任意文件 uc_server/model/base.php 找到 下边加:(2017.08.07更新方案) - if($k == 'uid') {
- if(is_array($this->input[$k])) {
- foreach ($this->input[$k] as $value) {
- if(!preg_match("/^[0-9]+$/", $value)) {
- return NULL;
- }
- }
- } elseif(!preg_match("/^[0-9]+$/", $this->input[$k])) {
- return NULL;
- }
- }
复制代码
uc_server/model/pm.php 找到 - if($uid == $value || !$value) {
复制代码修改为 - if($uid == $value || !$value || !preg_match("/^[0-9]+$/", $value)) {
复制代码
ps:站长应该考虑下 入侵者如何获取的uc_key,比如交给过APP运营商服务器信息?FTP信息?网站后台信息? |