Wap跨站脚本问题的补丁方案

童虎

Wap跨站脚本问题的补丁方案

威胁程度评级：中

经查证，Discuz!4.0 系列版本中存在一个潜在的安全隐患，此隐患并不会对您的数据产生威胁，但可以用来恶作剧及影响正常的浏览。请您按照以下方法对您的版本进行补丁。

下载本帖中的附件，解压后上传到论坛中，覆盖原wap目录即可，注意不是根目录。

本修正，各种语言版本均通用。

4.0.0及之前版本补丁地址: http://download.discuz.net/patch/20060503_40.zip
4.1.0 补丁地址: http://download.discuz.net/patch/20060503_41.zip



－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
附录：如果你的网站已经被人植入恶意代码，可以通过下面的方法清除  
此问题只有开启了wap功能的论坛才可能会出现，如果您没开通wap功能，则不需要更新数据库，而直接更新补丁即可。

如果您开通了wap功能，那么请登陆后台-〉数据库管理，然后输入如下语句。

1. UPDATE cdb_threads
   
2. SET subject = REPLACE(subject,'<','')  WHERE subject LIKE '%<%';
   
3. 
   
4. update cdb_posts
   
5. SET subject = REPLACE(subject,'<','')  WHERE subject LIKE '%<%';

复制代码

当然，您可以先查询一下您的数据库中是否有这样的数据。并且可以看到是谁，在什么时候发了这样的帖子。代码如下：

1. SELECT * FROM cdb_threads WHERE subject LIKE '%<%';
   
2. 
   
3. SELECT * FROM cdb_posts WHERE subject LIKE '%<%';

复制代码

如果有这样的记录才进行上述升级。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－