อาการค้นหาแล้วเจอ PHP Debug Discuz! System Error

oom

กำลังจะไปนอน.. พอดีลองค้นหา ที่เมนูค้นหา จึงพบว่าเมื่อพิมพ์ชื่อคำค้นยาวๆ ใน Discuz 6.3 แล้วเกิดอาการ Debug





เลยหาวิธีแก้ได้ เลยเอามาฝากกันครับ


วิธีแก้ไขทำดังนี้

เปิดไฟล์ \source\class\discuz\discuz_application.php

ค้นหา

1.     private function _xss_check() {
   
2.                     static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
   
3.                     if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
   
4.                             system_error('request_tainting');
   
5.                     }
   
6.                     if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
   
7.                             $temp = $_SERVER['REQUEST_URI'];
   
8.                     } elseif(empty ($_GET['formhash'])) {
   
9.                             $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
   
10.                     } else {
    
11.                             $temp = '';
    
12.                     }
    
13.                     if(!empty($temp)) {
    
14.                             $temp = strtoupper(urldecode(urldecode($temp)));
    
15.                             foreach ($check as $str) {
    
16.                                     if(strpos($temp, $str) !== false) {
    
17.                                             system_error('request_tainting');
    
18.                                     }
    
19.                             }
    
20.                     }
    
21.                     return true;
    
22.             }

คัดลอกไปที่คลิปบอร์ด

แล้วแทนที่ด้วย

1.     private function _xss_check() {
   
2.                     $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
   
3.                     if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
   
4.                             system_error('request_tainting');
   
5.                     }
   
6.                     return true;
   
7.             }

คัดลอกไปที่คลิปบอร์ด

แล้วทำการ SAVE

จากนั้นเข้าไป admin cp แล้ว อัปเดตแคช

jaideejung007

Discuz 6.3???

oom

อ่า พิมพ์ผิดครับ รบกวนแก้ให้หน่อยครับ
พอดีเจอที่ Discuz! X3.2 Pre-mod Thai UTF-8 Official Release 20150609 (REV.38) ครับ

ส่วน 6.3 น่าจะเป็น  QFarm 6.3 ครับ
พอดีกำลังยุ่งกะตัวนี้ เลยไปพ่วงกับ Discuz ซะงั้น

dsiwarsza

ขอบคุณครับผมกะเป็๋นเหมือนคุณครับ

jaideejung007

รบกวนขอข้อมูลเพิ่มอีกหน่อยครับ

ที่ว่าพิมพ์ยาวๆ นี่เท่าไหร่ครับ ระบุเป็นจำนวนได้ไหม หรือขอตัวอย่างคำที่ใช้ค้นเลยครับ

และวิธีแก้ไขปัญหานี้ อาจจะไม่ตรงจุดนะครับ จำได้ว่า ต้องไปปิดคุณสมบัติ XSS ในไฟล์ config/config_global.php

oom

วันนี้เพิ่งเจอใน Dizcuz 3.4 ลงพิมพ์ค้นหาคำว่า เอกพล มนต์ตระการ - ชุดที่ 3 นายร้อยหน้าลิฟต์ (320KBpS)
ก็จะเจออาการดังกล่าว วิธีแก้ไขคือ เปิดไฟล์ \source\class\discuz\discuz_application.php

ค้นหา

1.         private function _xss_check() {
   
2. 
   
3.                 static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
   
4. 
   
5.                 if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
   
6.                         system_error('request_tainting');
   
7.                 }
   
8. 
   
9.                 if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
   
10.                         $temp = $_SERVER['REQUEST_URI'];
    
11.                 } elseif(empty ($_GET['formhash'])) {
    
12.                         $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
    
13.                 } else {
    
14.                         $temp = '';
    
15.                 }
    
16. 
    
17.                 if(!empty($temp)) {
    
18.                         $temp = strtoupper(urldecode(urldecode($temp)));
    
19.                         foreach ($check as $str) {
    
20.                                 if(strpos($temp, $str) !== false) {
    
21.                                         system_error('request_tainting');
    
22.                                 }
    
23.                         }
    
24.                 }
    
25. 
    
26.                 return true;
    
27.         }

คัดลอกไปที่คลิปบอร์ด

แล้วแทนที่ด้วยโค้ดนี้

1.         private function _xss_check() {
   
2. 
   
3.                 $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
   
4. 
   
5.                 if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
   
6.                         system_error('request_tainting');
   
7.                 }
   
8.                 return true;
   
9.         }

คัดลอกไปที่คลิปบอร์ด

oom

เว็บต้นฉบับ http://www.discuz.net/forum.php ก็เป็นนะครับ
ลองค้นหา เอกพล มนต์ตระการ - ชุดที่ 3 นายร้อยหน้าลิฟต์ (320KBpS)

ก็จะเจออาการ



หรือค้นหาคำว่า [Line: 0022]search.php(discuz_application->init)

ก็จะเจอเหมือนกัน

ตัวอย่าง





หากแก้ตามด้านบนก็จะใช้ได้ตามปกติครับ

whale123

จริงด้วย ผมพยายามค้นหาปัญหานี้มานาน ขอบคุณที่หาวิธีนี้แก้เจอครับ
ถ้าลองเข้า admincp > เครื่องมือ > บันทึกของระบบ > ข้อผิดพลาดของระบบ
จะเจอเออเร่อแบบที่นี้เยอะมาก

1. 2018-12-11 19:46:11        การร้องขอการเข้าถึงของคุณประกอบด้วยอักขระที่ไม่ถูกต้อง ได้รับการปฏิเสธโดยระบบ
   
2. PHP:search.php:0022 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0558 -> source/class/discuz/discuz_application.php:0370 ->***
   
3. 2018-12-11 19:18:06        การร้องขอการเข้าถึงของคุณประกอบด้วยอักขระที่ไม่ถูกต้อง ได้รับการปฏิเสธโดยระบบ
   
4. PHP:search.php:0022 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0558 -> source/class/discuz/discuz_application.php:0355 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024
   
5. User: uid=0; IP=***.**.***.100; RIP:***.***.8.100 Request: /search.php?searchsubmit=yes
   
6. 2018-12-11 18:05:42        การร้องขอการเข้าถึงของคุณประกอบด้วยอักขระที่ไม่ถูกต้อง ได้รับการปฏิเสธโดยระบบ
   
7. PHP:search.php:0022 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0558 -> source/class/discuz/discuz_application.php:0355 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024
   
8. User: uid=147757; IP=***.***.218.246; RIP:***.***.218.246 Request: /search.php?searchsubmit=yes
   
9. 
   

คัดลอกไปที่คลิปบอร์ด

พอแก้แบบข้างต้น หมดปัญหาเลย

suttasilo

ปัญหาเกิดเป็นบั๊คสาเหตุเนื่องจากใช้อักขระไม่ถูกตามที่แจ้ง (การร้องขอการเข้าถึงของคุณประกอบด้วยอักขระที่ไม่ถูกต้อง)  ลองลบเครื่องหมาย - กับ (วงเล็มออก) ไม่เป็น
ยังไงก็ขอบคุณสำหรับวิธีแก้ปัญหา ทำให้พิมพ์อักขระพิเศษอื่นค้นหาแล้วไม่บั๊ค