|
|
本帖最后由 Archeb 于 2021-1-1 21:36 编辑
discuz默认允许使用X-Forwarded-For头里的IP当作记录,我还以为这事儿众所周知呢
我把我IP设成1111 论坛也认并且记录的(无F12,你们自己改改xff就知道了)
所以只要我想可以伪装成任何一个人的IP,版主(至少版主这个权限)是查不出来的,只能去查web服务器的log
所以以后版主也不能用这个石锤,因为完全可以随便改
除非站长把这个设定给改了,只信任remote addr(修改方法:config_global.php中添加$_config['security']['onlyremoteaddr'] = 1;仅dzx3.5及以上有效)
或者手动修改source/class/discuz/discuz_application.php里的_get_client_ip() |
|
发表于 2021-1-1 21:32:27
楼主
发表于 2021-1-1 22:43:51
