在config_global.php文件中有如下代码
- $_config['security']['attackevasive'] = 0;
可以设置的值有:
- 0表示关闭此功能
- 1表示cookie刷新限制
- 2表示限制代理访问
- 4表示二次请求
- 8表示回答问题(第一次访问时需要回答问题)
同时也可以设置为组合的方式,如1|2表示同时启用cookie刷新限制和限制代理访问。
在source/class/class_core.php文件中可以找到如下代码
- if($this->config['security']['attackevasive'] && (!defined('CURSCRIPT') || !in_array($this->var['mod'], array('seccode', 'secqaa', 'swfupload')))) {
- require_once libfile('misc/security', 'include');
- }
$this->config['security']['attackevasive']为config_global.php文件里设置的$_config['security']['attackevasive']的值。
找到source/misc/misc_security.php文件
- if(is_string($this->config['security']['attackevasive'])) {
- //如果$this->config['security']['attackevasive']是字符串
- $attackevasive_tmp = explode('|', $this->config['security']['attackevasive']);
- 根据分隔符|分割$this->config['security']['attackevasive']得到数组$attackevasive_tmp
- $attackevasive = 0;
- foreach($attackevasive_tmp AS $key => $value) {
- $attackevasive += intval($value);
- //将数组$attackevasive中每项的值加起来得到$attackevasive
- }
- unset($attackevasive_tmp);
- } else {
- $attackevasive = $this->config['security']['attackevasive'];
- }
- $lastrequest = isset($_G['cookie']['lastrequest']) ? authcode($_G['cookie']['lastrequest'], 'DECODE') : '';
获取上一次请求的时间。
$_G['cookie']['lastrequest']为记录上一次请求时间的cookie。
- if($attackevasive & 1 || $attackevasive & 4) {
- dsetcookie('lastrequest', authcode(TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
- }
如果设置的是cookie刷新限制($attackevasive & 1)或者二次请求($attackevasive & 4)的方式,那么创建以当前时间为值的上一次请求的cookie。
- if($attackevasive & 1) {
- if(TIMESTAMP - $lastrequest < 1) {
- securitymessage('attackevasive_1_subject', 'attackevasive_1_message');
- }
- }
