火急求助，关于formhash校验

ysx24

增加的formhash校验提升安全的同时也带来不小的麻烦
比如一些插件直接失效，特别是一些上传类、网盘类插件、手机端能使用但无法删除图片和附件
特别一些19年断更的经典插件更是直接下岗、
作者不是联系不上就是说了问题但没了下文

现在formhash校验给我的作用弊远远远远大于利
从哪里去掉formhash校验，十分恳请帮助
还有就是不明白为什么formhash校验限制手机版删附件，而古董级的pc模板丝毫不受影响，只限制手机端的作用是什么

1 贡献+3 金币

最佳答案

ysx24 发表于 2023-1-27 14:11
这个刚刚试了搜不到，老周大大快说说方法

upload/source/module/forum/forum_ajax.php
找到：

1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

复制代码

改成：

1. if(isset($_GET['aids'])) {

复制代码

此修改会关闭删除附件功能的 CSRF 校验，由此导致的安全风险自担

• 老周部落
• 发表于2023-1-27 14:20:08
• 详细答案 >

ysx24

除了手机模板添加formhash 参数外，如果一些启用插件没有formhash参数，就会导致所有版块在手机端无法删除，就比如xx网盘，要想手机删图必须要关闭它，回到11月20号之前的版本测试无此问题

湖中沉

PC端向来都是有formhash的，完善的是手机端的安全性，PC端本来就是那样做的，是安全了的（因为以前手机端很简陋）

幸福

为了安全，没必要，制作好手机端安全就好！

ysx24

湖中沉 发表于 2023-1-27 09:50
PC端向来都是有formhash的，完善的是手机端的安全性，PC端本来就是那样做的，是安全了的（因为以前手机端很 ...

能不增在系统增加适配所有插件的参数
然后在支持手机端的插件加入这个参数即可，不至于插件因为formhash问题在手机版集体趴窝
已知集中在上传类、网盘类插件，问题就是能上传附件不能删除附件和图片，因技术有限改出了很多问题

湖中沉

ysx24 发表于 2023-1-27 10:11
能不增在系统增加适配所有插件的参数
然后在支持手机端的插件加入这个参数即可，不至于插件因为formhash ...

插件适配程序才对，难道程序反向适配不安全的行为？这逻辑上就错了啊。

自己不会改，找开发者或其他技术人员处理啊。

ysx24

湖中沉 发表于 2023-1-27 10:16
插件适配程序才对，难道程序反向适配不安全的行为？这逻辑上就错了啊。

自己不会改，找开发者或其他技术 ...

如果找技术人员就不会来这里发帖了
只一款插件还可以，如果把有问题的罗列出来找人修改成本会很高
如一个网盘插件，全部用的系统函数，压根就没有formhash参数，加了也识别不出来
要全部重写代码架构

湖中沉

ysx24 发表于 2023-1-27 10:33
如果找技术人员就不会来这里发帖了
只一款插件还可以，如果把有问题的罗列出来找人修改成本会很高
如一个 ...

你自己的猜测我不评论……安全问题是第一位的，其他都得靠后

ysx24

湖中沉 发表于 2023-1-27 10:45
你自己的猜测我不评论……安全问题是第一位的，其他都得靠后

可以负责任的说，这不是猜测，如假包换

哎…算了，不行回滚11月20号之前的版本镜像止步，不过要丢失大量数据，但起码能用
测试升级3.5后发现此类问题更严重，暴击加倍那种
一度怀疑加的这个手机formhash 是为了安全还是为了创收，小白的惊喜

老周部落

ysx24 发表于 2023-1-27 10:11
能不增在系统增加适配所有插件的参数
然后在支持手机端的插件加入这个参数即可，不至于插件因为formhash ...

没办法，要能这么处理肯定就这么处理了。
主要是处理不了，又是必须修复的安全问题，那就没办法了。