下载新包,只需删除tool目录,然后直接覆盖。
重新下载bbs插件,删除现有的bbs插件,手动改为安装,上传。
重新下载编辑器安装覆盖。
一、此次升级增加 token 验证,防止跨站攻击,后台和前台几乎跟写入有关的操作都必须经过 token 验证。
(1) token 随机生成+验证数据。
(2)使用key进行加密,加解密的 key 为不可破解,除非别人端走了你的整站数据。
(3)提交数据到后端,后端校对 token 是否正确,
(4)token 正确则进行解密校对数据正确性和是否过期。
二、优化若干代码;
三、后台官方商店,目前官方暂时未启用,可以忽略这个功能,官方需要做最后完善和检查。
除了覆盖全部文件外,升级操作如下文件:
打开修改conf/conf.php
'static_version' => '?2.0.05', // 末尾随便追加一个数字
接着在该文件最后加入以下代码,根据自己需要开启或关闭,保存覆盖
// token验证,开启后内容提交和上传都需要token,没有token无法操作,app建议开启,有效阻止抓包伪造提交等。开启后相当于单线程,仅限当前页有效。
'upload_token' => 1, // 0关闭 1开启上传验证 token
'message_token' => 1, // 0关闭 1开启发布内容验证 token
'comment_token' => 1, // 0关闭 1开启评论验证 token
如果自己开发了模板文件,read.htm 页脚 查找 或者直接复制官方这个文件页脚的全部 js 代码
var jform = $('#quick_reply_form');在这个代码前面加入
var forum_url = '<?php echo array_value($forum, 'url');?>';
var safe_token = '<?php echo GLOBALS('safe_token');?>';最后清空缓存,如安装了 OPcache缓存,需等待2分钟该缓存失效,或者重启服务器。
