火急求助，關于formhash校驗

ysx24

增加的formhash校驗提升安全的同時也帶來不小的麻煩
比如一些插件直接失效，特別是一些上傳類、網盤類插件、手機端能使用但無法刪除圖片和附件
特別一些19年斷更的經典插件更是直接下崗、
作者不是聯系不上就是說了問題但沒了下文

現在formhash校驗給我的作用弊遠遠遠遠大于利
從哪里去掉formhash校驗，十分懇請幫助
還有就是不明白為什么formhash校驗限制手機版刪附件，而古董級的pc模板絲毫不受影響，只限制手機端的作用是什么

1 貢獻+3 金幣

最佳答案

ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到，老周大大快說說方法

upload/source/module/forum/forum_ajax.php
找到：

1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

復制代碼

改成：

1. if(isset($_GET['aids'])) {

復制代碼

此修改會關閉刪除附件功能的 CSRF 校驗，由此導致的安全風險自擔

• 老周部落
• 發表于2023-1-27 14:20:08
• 詳細答案 >

ysx24

除了手機模板添加formhash 參數外，如果一些啟用插件沒有formhash參數，就會導致所有版塊在手機端無法刪除，就比如xx網盤，要想手機刪圖必須要關閉它，回到11月20號之前的版本測試無此問題

湖中沉

PC端向來都是有formhash的，完善的是手機端的安全性，PC端本來就是那樣做的，是安全了的（因為以前手機端很簡陋）

幸福

為了安全，沒必要，制作好手機端安全就好！

ysx24

湖中沉 發表于 2023-1-27 09:50
PC端向來都是有formhash的，完善的是手機端的安全性，PC端本來就是那樣做的，是安全了的（因為以前手機端很 ...

能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可，不至于插件因為formhash問題在手機版集體趴窩
已知集中在上傳類、網盤類插件，問題就是能上傳附件不能刪除附件和圖片，因技術有限改出了很多問題

湖中沉

ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可，不至于插件因為formhash ...

插件適配程序才對，難道程序反向適配不安全的行為？這邏輯上就錯了啊。

自己不會改，找開發者或其他技術人員處理啊。

ysx24

湖中沉 發表于 2023-1-27 10:16
插件適配程序才對，難道程序反向適配不安全的行為？這邏輯上就錯了啊。

自己不會改，找開發者或其他技術 ...

如果找技術人員就不會來這里發帖了
只一款插件還可以，如果把有問題的羅列出來找人修改成本會很高
如一個網盤插件，全部用的系統函數，壓根就沒有formhash參數，加了也識別不出來
要全部重寫代碼架構

湖中沉

ysx24 發表于 2023-1-27 10:33
如果找技術人員就不會來這里發帖了
只一款插件還可以，如果把有問題的羅列出來找人修改成本會很高
如一個 ...

你自己的猜測我不評論……安全問題是第一位的，其他都得靠后

ysx24

湖中沉 發表于 2023-1-27 10:45
你自己的猜測我不評論……安全問題是第一位的，其他都得靠后

可以負責任的說，這不是猜測，如假包換

哎…算了，不行回滾11月20號之前的版本鏡像止步，不過要丟失大量數據，但起碼能用
測試升級3.5后發現此類問題更嚴重，暴擊加倍那種
一度懷疑加的這個手機formhash 是為了安全還是為了創收，小白的驚喜

老周部落

ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可，不至于插件因為formhash ...

沒辦法，要能這么處理肯定就這么處理了。
主要是處理不了，又是必須修復的安全問題，那就沒辦法了。