Discuz X2.5 禁止会员修改邮箱
默认只要有密码就可以修改邮箱,很不安全。
修改文件:
template\default\home\spacecp_profile.htm
查找
<input type="text" name="emailnew" id="emailnew" value="$space[email]" class="px" />
复制代码
替换成
<input type="text" name="emailnew" id="emailnew" value="$space[email]" disabled />
复制代码
这样修改之后,发现修改邮箱的编辑框就不可用了,无法修改邮箱。
但是这样真的够了么?
这个方法只是从前端屏蔽往编辑框输入邮箱,但是我们完全可以用firebug之类工具修改编辑框的属性 ,把disabled属性去掉,就可以正常编辑了;甚至可以直接伪造数据包发给服务器,服务器端会乖乖给你修改的。
所以如果想彻底防止修改邮箱,必需在服务器端也做限制,具体方法:
修改文件:source\include\spacecp\spacecp_profile.php
查找
$emailnew = dhtmlspecialchars($_GET['emailnew']);
复制代码
替换为:
$emailnew = $_G['member']['email'];
复制代码
注意记得备份好原始文件。
本文转自Discuz 论坛。