http://jackxiang.com/index.php zh-cn http://jackxiang.com/post// jack <xdy108@126.com> Tue, 14 Jan 2014 08:38:31 +0000 http://jackxiang.com/post// http://blog.csdn.net/phpfenghuo/article/details/18178519
_____________________________________________________________________________
一、我试着想关闭bo-blog里的评论功能（以防止注入）：
如何关闭Bo-blog评论及留言部分的地址和邮箱栏

修改当前模板的elements.php文件，推荐用editplus。
1、查找并删除以下两处。
{replieremail}
{replierhomepage}
2、查找到
{$lnc[170]} <input name="v_repurl" id="v_repurl" type="text" size="12" class="text" value="{repurl}" />
{$lnc[248]} {if_neednopsw_end}{additional}<input name="v_repemail" id="v_repemail" type="text" size="12" class="text"  value="{repemail}" />
将其中两处type=”text”改为type=”hidden”，并去掉{$lnc[170]}和{$lnc[248]}{repurl},{repemail}，及{if_neednopsw_end}{additiona }。


附：去掉密码栏的方法
修改当前模板的elements.php文件，查找到
{$lnc[133]} <input name="v_password" id="v_password" type="password" size="12" class="text"  value="{ password}" {disable_password}/> {$lnc[247]}
去掉：{$lnc[133]} 和 {$lnc[247]}还有{password}，将type=”password”改为type=”hidden”

参考资料：http://www.18hao.net/archives/611
_____________________________________________________________________________
二、但是想了一下，有可能是通过[ubb]注入的，于是先打一下补丁,暂不关评论：
http://www.bo-blog.com/weblog/security--notice-20110312/
2.1.1正式版用户请下载附件中的补丁程序，解压后上传、覆盖原先的文件。打完补丁后，请检查后台页脚的版本号是否为2.1.1.3626.3。

三、修改登录密码：
      后台->用户管理->用户管理->搜索自己的用户名->找到后再修改一下密码混入数字字母大小写符号等即可。


Bo-Blog SQL注入漏洞

Bo-Blog是一套基于PHP和MySQL的免费博客系统软件，该软件包括留言本、表情、天气等。本周，该产品被披露存在一个综合评级为“高危”的SQL注入漏洞。由于程序未能正确过滤用户提交的输入，攻击者利用漏洞可控制应用程序，访问或修改数据。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页以获取最新版本。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2013-12867
               http://www.cnvd.org.cn/webinfo/show/3289 ]]> http://jackxiang.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://jackxiang.com/post//#blogcomment