论坛 › 源码与教程 › 禁止会员修改注册邮箱

阿桑 发表于 2022-10-6 03:06:44

禁止会员修改注册邮箱

注意首先记得备份好原始文件。

以下教程也适用于Discuz ! X3.4以下版本。

discuz默认是只要有密码就可以修改邮箱，这样当用户账号被盗之后，黑客可以修改掉用户的注册邮箱，从而实现完全的将被盗用户账号占为己有，非常不安全。

修改文件：
template\default\home\spacecp_profile.htm

查找
<input type="text" name="emailnew" id="emailnew" value="$space" class="px" />

替换为：
<input type="text" name="emailnew" id="emailnew" value="$space" disabled />

这样修改之后，发现修改邮箱的编辑框就不可用了，无法修改邮箱。但是这样还不够，现在只是从前端禁止了在编辑框内输入邮箱，但是我们完全可以用firebug之类工具修改编辑框的属性 ，把disabled属性去掉，就可以正常编辑了；甚至可以直接伪造数据包发给服务器，服务器端会乖乖给你修改的。

所以如果想彻底防止修改邮箱，还必需修改程序文件，在服务器端也做限制，具体方法：

修改文件:source\include\spacecp\spacecp_profile.php

查找
$emailnew = dhtmlspecialchars($_GET['emailnew']);

替换为
$emailnew = $_G['member']['email'];

albertausuns 发表于 2023-4-25 01:29:27

感谢楼主分享

笑对VS人生 发表于 2023-4-25 10:46:02

支持一下

862112860 发表于 2023-4-25 12:38:44

妖猫论坛就是牛

leixiaoyaovip 发表于 2023-4-26 18:38:34

支持一下

hebadang1996 发表于 2023-4-27 07:29:16

看看隐藏

albertausuns 发表于 2023-4-28 23:20:00

看看隐藏

qe15674 发表于 2023-4-29 01:13:24

妖猫论坛就是牛

gp500198 发表于 2023-4-29 14:45:01

妖猫论坛就是牛

爱坤就是我 发表于 2023-4-29 23:56:40

支持一下

查看完整版本: 禁止会员修改注册邮箱