DISCUZ论坛漏洞之会员找回密码提示参数错误的解决方案
最近DiscuxX3.2版本也在不停的升级版本,如果不是装的最新版本的程序,当登陆网站的后台都会在功能栏的上面看到提示要求升级的字样。小编今天帮助一位站长朋友完满升级后却又发现了另外的一个漏洞,站长朋友们都知道论坛有一个强大的功能那就是当会员密码忘记了可以在论坛首页点击左上角的忘记密码通过当时注册的邮箱来找回登陆密码。可是今天道勤小编帮忙升级后,有位会员反映说无法使用这个功能了,点击第一次没有反映,点击第二次后就会提示参数错误,请返回上一层。如下小编截图:没有升级之前这些功能都是正常的,升级后就开始有这个Bug了,小编通过分析了下会员获取密码的文件可能存在问题,小编又查阅了些资料找到了解决问题的方法。下面小编来详细描述下解决的方法吧。
第一步:连接FTP软件找到\template\default\member\getpasswd.htm文件用高级编辑器打开在第8行代码:
<form method="post" autocomplete="off" action="member.php?mod=getpasswd&uid=$uid&id=$hashid">修改为:
<form method="post" autocomplete="off" action="member.php?mod=getpasswd&uid=$uid&id=$hashid&sign=$sign">第二步:\source\module\member\member_getpasswd.php文件,用高级编辑器打开在31-32行代码如下:
$hashid = $_GET['id'];
$uid = $_GET['uid'];修改为:
$hashid = $_GET['id'];
$uid = $_GET['uid'];
$sign = $_GET['sign'];修改好了这两个文件后,保存上传到对应的文件目录下覆盖就可以了。有的论坛缓存是比较大的,修改之后可以登录论坛的后台更新下缓存,然后再登陆首页通过邮箱找回密码就可以正常使用了。
页:
[1]