本帖最后由 民审-M 于 2017-8-7 13:22 编辑

很多站长UC后台创始人密码无故被改，UC目录下多出莫名的php文件，论坛被挂马,UC文件被写一句话等问题安全修复加强：
[p=25, null, left][color=rgb(64, 72, 91)]UC_KEY泄露后，头像功能有可能被用于上传任意文件[/p][p=25, null, left][color=rgb(64, 72, 91)]uc_server/model/base.php[/p][p=25, null, left][color=rgb(64, 72, 91)]找到[/p]function input($k) {[p=25, null, left][color=rgb(64, 72, 91)]下边加：（2017.08.07更新方案）[/p]if($k == 'uid') {
   if(is_array($this->input[$k])) {
       foreach ($this->input[$k] as $value) {
           if(!preg_match(\"/^[0-9]+$/\", $value)) {
               return NULL;
           }
       }
   } elseif(!preg_match(\"/^[0-9]+$/\", $this->input[$k])) {
       return NULL;
   }
}
[p=25, null, left][color=rgb(64, 72, 91)]uc_server/model/pm.php[/p][p=25, null, left][color=rgb(64, 72, 91)]找到[/p]if($uid == $value || !$value) {[p=25, null, left][color=rgb(64, 72, 91)]修改为[/p]if($uid == $value || !$value || !preg_match(\"/^[0-9]+$/\", $value)) {
[p=25, null, left][color=rgb(64, 72, 91)]ps：站长应该考虑下 入侵者如何获取的uc_key，比如交给过APP运营商服务器信息？FTP信息？网站后台信息？[/p]