当我们输出帖子列表或用户信息数据时,用户的密码和salt也会一并输出,随便一个插件都可以输出。虽然这个密码是经过加密的,且无法通过这两个数据就解密,但是还是防御一下为好。
为了确保Xiuno BBS在所有输出用户信息的地方都不包含用户密码和salt,我们可以创建一个插件,通过hook机制来修改用户数据,移除这些敏感信息。
以下是插件的目录结构和相关代码:
插件目录结构
plugin/
└── domi_secure_user/
├── conf.json
├── hook/
│ └── model_thread_format_end.php
│ └── model_user_find_by_uids_end.php
│ └── model_user_find_end.php
└── icon.png
安装插件
-
将插件上传到你的Xiuno BBS的 plugin 目录下。
-
登录后台,启用插件。
这样,当Xiuno BBS通过 user_format函数处理用户信息时,插件会通过hook机制移除用户信息中的密码和salt字段,确保输出的信息中不包含这些敏感信息。
本帖含有隐藏的附件资源
共包含 1 个附件,请您先登录后再查看。
免责声明:
此内容由本站网友原创或转载自网络公开渠道,仅供学习测试使用,禁止商用,著作权归原作者所有;
本站不对此内容担负法律责任,请于下载后24小时内删除;
如发现内容侵权或违规,请联系本站,我们将在12小时内及时做删除或屏蔽处理!邮箱:[email protected]
