问题描述:
在后台->内容->回帖回收站下恢复回帖时,无法恢复对应回帖用户的积分(相应用户的积分不增加)。
问题分析:
找到source\function\function_misc.php文件
搜索代码
updatepostcredits('+', $ruidarray, $creditspolicy['reply']);
查看updatepostcredits函数的定义,发现第三个参数错误。
应该改为
updatepostcredits('+', $ruidarray, 'reply');
此问题在1010版本下发现,其他版本未验证。
在config_global.php文件中有如下代码
$_config['security']['attackevasive'] = 0;
可以设置的值有:
0表示关闭此功能 1表示cookie刷新限制 2表示限制代理访问 4表示二次请求 8表示回答问题(第一次访问时需要回答问题)
同时也可以设置为组合的方式,如1|2表示同时启用cookie刷新限制和限制代理访问。
在source/class/class_core.php文件中可以找到如下代码
if($this->config['security']['attackevasive'] && (!defined('CURSCRIPT') || !in_array($this->var['mod'], array('seccode', 'secqaa', 'swfupload')))) {
require_once libfile('misc/security', 'include');
}
$this->config['security']['attackevasive']为config_global.php文件里设置的$_config['security']['attackevasive']的值。
找到source/misc/misc_security.php文件
if(is_string($this->config['security']['attackevasive'])) {
//如果$this->config['security']['attackevasive']是字符串
$attackevasive_tmp = explode('|', $this->config['security']['attackevasive']);
根据分隔符|分割$this->config['security']['attackevasive']得到数组$attackevasive_tmp
$attackevasive = 0;
foreach($attackevasive_tmp AS $key => $value) {
$attackevasive += intval($value);
//将数组$attackevasive中每项的值加起来得到$attackevasive
}
unset($attackevasive_tmp);
} else {
$attackevasive = $this->config['security']['attackevasive'];
}
$lastrequest = isset($_G['cookie']['lastrequest']) ? authcode($_G['cookie']['lastrequest'], 'DECODE') : '';
获取上一次请求的时间。
$_G['cookie']['lastrequest']为记录上一次请求时间的cookie。
if($attackevasive & 1 || $attackevasive & 4) {
dsetcookie('lastrequest', authcode(TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
}
如果设置的是cookie刷新限制($attackevasive & 1)或者二次请求($attackevasive & 4)的方式,那么创建以当前时间为值的上一次请求的cookie。
if($attackevasive & 1) {
if(TIMESTAMP - $lastrequest < 1) {
securitymessage('attackevasive_1_subject', 'attackevasive_1_message');
}
}
cookie刷新限制的方式:当前时间-上一次请求的时间<1的时候会有页面重载的提示。
if(($attackevasive & 2) && ($_SERVER['HTTP_X_FORWARDED_FOR'] ||
$_SERVER['HTTP_VIA'] || $_SERVER['HTTP_PROXY_CONNECTION'] ||
$_SERVER['HTTP_USER_AGENT_VIA'] || $_SERVER['HTTP_CACHE_INFO'] ||
$_SERVER['HTTP_PROXY_CONNECTION'])) {
securitymessage('attackevasive_2_subject', 'attackevasive_2_message', FALSE);
}
限制代理访问的方式。
if($attackevasive & 4) {
if(empty($lastrequest) || TIMESTAMP - $lastrequest > 300) {
securitymessage('attackevasive_4_subject', 'attackevasive_4_message');
}
}
二次请求的方式:当前时间-上一次请求时间>300秒的时候会有页面重载的提示。
if($attackevasive & 8) {
list($visitcode, $visitcheck, $visittime) = explode('|', authcode($_G['cookie']['visitcode'], 'DECODE'));
if(!$visitcode || !$visitcheck || !$visittime || TIMESTAMP - $visittime > 60 * 60 * 4 ) {
if(empty($_POST['secqsubmit']) || ($visitcode != md5($_POST['answer']))) {
$answer = 0;
$question = '';
for ($i = 0; $i< rand(2, 5); $i ++) {
$r = rand(1, 20);
$question .= $question ? ' + '.$r : $r;
$answer += $r;
}
$question .= ' = ?';
dsetcookie('visitcode', authcode(md5($answer).'|0|'.TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
securitymessage($question, '', FALSE, TRUE);
} else {
dsetcookie('visitcode', authcode($visitcode.'|1|'.TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
}
}
}
回答问题的方式:第一次访问时需要回答问题。
Ps:
下周工作的内容要发生变化了,又是一个挑战,希望可以Hold住,以后估计会忙一些了。
问题表现:
后台设置的签名文字最大长度无效,导致被人在签名里挂广告。
原因分析:
出现这个问题的原因是由于官方QQ互联里内置了微博签名的功能,因为使用微博签名的话会导致签名长度设置无效。
具体代码分析:
找到source\plugin\qqconnect\connect.class.php文件
if(submitcheck('profilesubmit')) {
$_G['group']['maxsigsize'] = $_G['group']['maxsigsize'] < 200 ? 200 : $_G['group']['maxsigsize'];
return;
}
其中的$_G['group']['maxsigsize']即为后台设置的签名最大长度,此处可知如果此值小于200,则置为200字节。
此处更改了最大长度的默认值,从而导致后台设置的签名最大长度无效。
下面给出改进方法:
在source\plugin\qqconnect\connect.class.php文件里,搜索代码:
if(submitcheck('profilesubmit')) {
$_G['group']['maxsigsize'] = $_G['group']['maxsigsize'] < 200 ? 200 : $_G['group']['maxsigsize'];
return;
}
注释掉这段代码。
同时搜索代码:
if($result['status'] == 0) {
$js = 'a.onclick = function () { seditor_insertunit(\'sightml\', \'[wb='.$result['result']['username'].']'.$result['result']['signature_url'].'[/wb]\'); };';
} else {
$js = 'a.onclick = function () { showDialog(\''.lang('plugin/qqconnect', 'connect_wbsign_no_account').'\'); };';
}
改为下面的代码:
if($_G['group']['maxsigsize'] > 200){
if($result['status'] == 0) {
$js = 'a.onclick = function () { seditor_insertunit(\'sightml\', \'[wb='.$result['result']['username'].']'.$result['result']['signature_url'].'[/wb]\'); };';
} else {
$js = 'a.onclick = function () { showDialog(\''.lang('plugin/qqconnect', 'connect_wbsign_no_account').'\'); };';
}
}else{
$js = 'a.onclick = function () { showDialog(\''.'您所在用户组的签名长度不够使用微博签名,点击查看当前用户组的签名长度'.'\'); };';
}
效果演示:http://x.s49.myverydz.com
之前排查过一个站点,出现此问题,记得发现是file读取链接失败,具体原因当时没有深究。
恰巧今天又有同事转了一个此类的问题,便细究了下原因。
x2的获取标签处理在source\module\forum\forum_relatekw.php文件。
在文件中做断点处理,发现问题出在下面的代码:
$data = @implode('', file("http://keyword.discuz.com/related_kw.html?ics=".CHARSET."&ocs=".CHARSET."&title=$subjectenc&content=$messageenc"));
分析了下发现是file读取远程连接返回了false。
在网上搜索了下file读取失败的原因,没找到相关的问题。
实在想不出来方法的时候,咨询了下同学,告诉我在文件头加上error_reporting(E_ALL),看下报错信息。
加了之后,输出如下报错信息:
Warning: file(): URL file-access is disabled in the server configuration in 路径地址
根据报错信息在网上搜索了下,发现是由于php.ini文件里的allow_url_fopen设置导致。
解决方法:
找到php.ini文件,搜索如下代码
allow_url_fopen = Off
将其中的Off改为On,然后重启服务器即可。
通过这次排查,也学到一个查错的方法,当你找不到错误信息的时候,在文件开头加上error_reporting(E_ALL),php本身就会告诉你相关的报错信息。
1116日更新解决方法。
今日有用户反应设置了QQ在帖子里显示,但是帖子仍不显示的问题。
排查后发现为x2的bug,特给出具体的分析。
后台设置QQ项的隐私,如图:
在source\admincp\admincp_setting.php文件中的处理有如下代码:
foreach($settingnew['customauthorinfo'] as $field => $v) {
if(substr($field, 0, 6) == 'field_' && ($v['menu'] || $v['left'])) {
//如果$field前6个字符等于field_(即个人资料里的设置),同时此设置在头像菜单里显示($v['menu'])或者在贴内左侧($v['left'])显示
$showinthreadfields[] = substr($field, 6);
//substr($field, 6)为field_后面的值,如QQ的key值为field_qq,则substr($field, 6)为qq
//将满足条件的值添加到数组$showinthreadfields中
}
}
//中间代码省略
if($showinthreadfields) {
DB::update('common_member_profile_setting', array('showinthread' => 1), "fieldid IN (".dimplode($showinthreadfields).")");
//将在$showinthreadfields中的相应项在common_member_profile_setting表中的showinthread字段置为1
}从这段代码可以看出,QQ选项在common_member_profile_setting表中的showinthread字段被置为了1.
下面分析在家园设置QQ选项时的处理:
找到template\default\home\spacecp_profile.htm文件
从这里可以看出,如果$value[showinthread]存在,则此项的隐私类型privacy[$key]直接被置为了3(value="3")。
privacy[$key]值的代表意义:
0:公开
1:好友可见
3:保密
这里会导致存入到common_member_home_field表中的关于此项设置(QQ)的隐私设置为3,即保密。
不明白此处为何有一处这样的判断,不知道当初是如何设计的。
因此处导致该会员关于QQ的隐私设置为保密,进而会导致前台帖子内无法显示。
因为隐私项是不显示的,具体见source\module\forum\forum_viewthread.php文件中的代码:
if(!empty($post['privacy']['profile'][$field])) {
continue;
}解决方法:
找到template\default\home\spacecp_profile.htm文件
搜索如下代码:
改为
这里的判断改为如果在帖子里显示(贴内左侧或头像菜单),则设置此项的隐私为公开。
对于之前注册的用户,则需要到设置下重新设置一下隐私类型,将对应项的隐私改为公开即可显示,如图以QQ为例。
