请问用户组权限是否有漏洞呢?

新用户注册,但没有激活邮件是“未验证”用户组。这个组的用户,只有常规的查看权限,没有发表帖子的权限。但是,很奇怪,很多机器人注册以后,没有通过邮件注册。还是照样可以发帖子,这个权限机制莫非形同虚设?

回复

  • edited 2013年10月09日

    看了一下代码,感觉那个“邮箱确认角色”功能还没有实现。新用户注册以后并没有给用户后台设置的“邮箱确认角色”,看了一下数据库字段值,感觉这里是用户字段“Admin、Confirmed、Verified”来判断的。

  • Snip20131009_1
    这个设置了吗?
    还要Unconfirmed角色的权限是怎样设置的?

  • @chuck911 只能查看和允许登录的情况。必须邮件激活才能发帖。从代码里面看,注册以后用户角色并不是“邮件确认角色”,这点我没明白为何。

  • @6b79 其实我也发现了很奇怪的状况,我换了服务器以后就不再有那些垃圾广告用户注册了,而且之前的服务器mysql还莫名的占资源,cpu挺高。所以我怀疑是服务器被注入了恶意脚本,但暂时还没发现脚本在哪

  • @chuck911 vanillaforums有这么严重的漏洞?会被注入恶意脚本???

  • edited 2013年10月15日

    @chuck911 @qq123456 ![](> > > > > > > > )

  • @chuck911 @qq123456 ![](> > > > > > > > )

登录注册 才能回复。