Discuz论坛的IP记录不可信

Archeb

discuz默认允许使用X-Forwarded-For头里的IP当作记录，我还以为这事儿众所周知呢
我把我IP设成1111 论坛也认并且记录的（无F12，你们自己改改xff就知道了）

所以只要我想可以伪装成任何一个人的IP，版主（至少版主这个权限）是查不出来的，只能去查web服务器的log

所以以后版主也不能用这个石锤，因为完全可以随便改
除非站长把这个设定给改了，只信任remote addr（修改方法：config_global.php中添加$_config['security']['onlyremoteaddr'] = 1;仅dzx3.5及以上有效）
或者手动修改source/class/discuz/discuz_application.php里的_get_client_ip()

Archeb

Fei 发表于 2021-1-1 21:36
谁会无事改这个，还恰恰改的和别人一样。

不怀好意的人，配合一下图片钓鱼获取IP，冒充栽赃别人，版主查IP可能反而会被利用