Discuz! 论坛官方 » □-发展建议 » [安全隐患][discuz]关于后台修改用户密码后的记录显示

立即免费下载 Discuz!6.1.0正式版 Discuz! 6.1.0 使用说明	Discuz!NT升级至v2.1 开放源码下载	UCenter Home 1.2 正式版发布官方站 \| 帮助文档	基于ECShop的免费网店托管-卖否 PHP实战精英班培训 \| LAMP培训大连
Discuz!收费服务内容及价格论坛免费升级手握手	Discuz!/ECShop 专用官方虚拟主机注册付费广告征集	Comsenz 招聘信息网店系统ECShop v2.6.0正式版火热发布	基于Discuz!的免费论坛空间5D6D 第二届PHP中国开源发展及人才状况调查

‹‹ 上一主题 | 下一主题 ››

发新话题

打印

[其他意见] [安全隐患][discuz]关于后台修改用户密码后的记录显示

moxnet

头衔 Member

星级 Rank: 2

UID: 83194
帖子: 19
积分: 167
威望: 0
金币: 101 个
注册时间: 2004-5-10
最后登录: 2008-6-29

1^# 大中小发表于 2008-4-19 21:20 只看该作者

[安全隐患][discuz]关于后台修改用户密码后的记录显示

问题: 如果在管理员在后台帮助用户/版主/另一个管理员修改密码后, 在[后台访问记录]会增加一条日志(日志记在forumdata/logs/下的*cplog.php文件中). 注意这儿显示的操作记录中密码是明文密码!

如一条记录中passwordnew=12121;中显示的是明文密码.(我是直接看的日志文件, 当然在后台管理中查看更清晰)

复制内容到剪贴板

代码:

<?PHP exit;?>        1203344805        abc        1        117.14.137.125        memberprofile        uid=2562; usernamenew=def; passwordnew=12121; clearquestion=1; gendernew=2; emailnew=2inin@so ...; postsnew=77; digestpostsnew=2; pageviewsnew=178; totalnew=2780; thismonthnew=50; regipnew=219.43.95.133; regdatenew=2006-4-27 08:43 ...; lastvisitnew=2008-1-18 01:40 ...; lastipnew=60.3.88.104; qqnew=223456223; locationnew=山西; bdaynew=1986-06-16; avatarnew=customavatars/2 ...; avatarwidthnew=82; avatarheightnew=90; bionew=大人; signaturenew=[color=orange]玩 ...; timeoffsetnew=9999; newsletternew=1; editsubmit=提 交

<?PHP exit;?>

从安全的角度来讲,任何地方都不应当出现明文密码, 会被别有用心的人利用.

当然用户疏于更改密码也有一定的责任, 但对于我们做软件的, 应该最大化系统的安全性.

本帖最近评分记录

枯心树金币 +1 精品文章 2008-4-25 21:03

我的站点:manew.org

TOP

第二届PHP有奖调查

bei11

头衔 Member

星级 Rank: 2

UID: 795709
帖子: 69
积分: 55
威望: 0
金币: 0 个
注册时间: 2007-9-5
最后登录: 2008-7-2

2^# 大中小发表于 2008-4-20 17:09 只看该作者

:victory: :victory:

TOP

第二届PHP有奖调查

Clwarm

昵称: Busy And Tired

头衔 Forum Legend

星级 Rank: 8 Rank: 8

UID: 196049
帖子: 3593
积分: 4511
威望: 105
金币: 338 个
注册时间: 2005-5-3
最后登录: 2008-7-5

3^# 大中小发表于 2008-4-20 21:22 只看该作者

还真从来没注意过这里。

FreeDiscuz! 欢迎您的光临！
我的博客　　『温暖世界』学生之家论坛　　 

TOP

《PHPer》合订本有奖下载

club123456

头衔 King

星级 Rank: 6 Rank: 6

UID: 724065
帖子: 1939
积分: 1572
威望: 0
金币: 14 个
注册时间: 2007-6-2
最后登录: 2008-7-6

4^# 大中小发表于 2008-4-20 23:52 只看该作者

真是细心

1100M空间199元/年,QQ:601488850
登陆→买空间网 www.maikongjian.com
免费安装discuz论坛+网店,先试用满意再付款

TOP

《PHPer》电子杂志免费下载

moxnet

头衔 Member

星级 Rank: 2

UID: 83194
帖子: 19
积分: 167
威望: 0
金币: 101 个
注册时间: 2004-5-10
最后登录: 2008-6-29

5^# 大中小发表于 2008-4-21 01:44 只看该作者

引用:

原帖由 club123456 于 2008-4-20 23:52 发表
真是细心

不是细心, 是被人捅了一刀.

我的站点:manew.org

TOP

《PHPer》电子杂志免费下载

Clwarm

昵称: Busy And Tired

头衔 Forum Legend

星级 Rank: 8 Rank: 8

UID: 196049
帖子: 3593
积分: 4511
威望: 105
金币: 338 个
注册时间: 2005-5-3
最后登录: 2008-7-5

6^# 大中小发表于 2008-4-25 10:54 只看该作者

不过要说，位数比较多的密码，中间会用*代替。

FreeDiscuz! 欢迎您的光临！
我的博客　　『温暖世界』学生之家论坛　　 

TOP

暑期PHP精修班招生开始

achair

头衔 Member

星级 Rank: 2

UID: 181198
帖子: 8
积分: 156
威望: 0
金币: 100 个
注册时间: 2005-3-18
最后登录: 2008-7-5

7^# 大中小发表于 2008-4-25 14:25 只看该作者

怎么解决??

TOP

《PHPer》合订本有奖下载

moxnet

头衔 Member

星级 Rank: 2

UID: 83194
帖子: 19
积分: 167
威望: 0
金币: 101 个
注册时间: 2004-5-10
最后登录: 2008-6-29

8^# 大中小发表于 2008-4-25 22:27 只看该作者

引用:

原帖由 Clwarm 于 2008-4-25 10:54 发表
不过要说，位数比较多的密码，中间会用*代替。

这是“密码错误记录”而不是“后台访问记录”

我的站点:manew.org

TOP

第二届PHP有奖调查

‹‹ 上一主题 | 下一主题 ››

发新话题

版块跳转