1、关于分页和导航:
在浏览某一个板块的帖子时,因为论坛中都是在当前框架中打开的页面而非在新页面中打开,所以导航就显得比较重要,比如浏览如下的页面时,
上方就显示所属的带链接的板块名称,比较清晰,但是如果本帖子回复太长,帖子回复也分页后,就不显示了,例如
http://www.17php.com/show_title.php?page=3&id=33
这篇帖子翻到第2页以后,上方的这个导航就没有了,假若回复太多,例如看到第十页,再回到所属的板块时,势必就的从首页重新点击到刚才浏览的板块去,而且,如果刚才看的帖子不再所属板块的第一页时,势必还得重新去找刚才该篇帖子所在的板块标题列表所在的页,这样就显得十分不便了。这种情况导航的作用就显得重要了。比较了一下Discuz的分页,效果如下所示。就十分方便。
2、帖子发表:
最好能定义一下附件的位置,比如我发文章需要很多幅图片,而我想让这些图片是在文章内的,而不是在文章下方。对于一些图文说明的文章,这个功能也是比较实用的。虽然用ubb代码可以插入,但是在发文章时附件未上传,不知道路径,要做到既用上传的图片,又定义位置,得需要重新编辑帖子了。重新编辑后就是现在这个样子。文中有图,附件下面还有图。
3、关于后台及文件上传:
后台在后台中注册协议的地方,建议将注册协议的内容做一定的过滤,目前没有任何过滤直接require的,这样如果在lisence.txt 加入php函数,就可以运行而获得服务器的一些信息。还有附件上传,后台中可以设置上传文件类型,建议加一个上传文件类型黑名单,例如即使后台设置了允许php文件上传,除非手工编辑配置文件,也禁止此类文件上传,当然也包括所有其他动态脚本文件asp,aspx,jsp等。以前动网就可以直接在后台定义文件类型,导致取的后台管理员权限后直接获得WebShell的。后来也是做了过滤,即使设置允许asp上传,也不会执行成功。尽管目前来看这些危险都是在登陆后台才能操作的,但总结其他论坛或站点系统的安全经验来看,这样做也是十分必要的。因为WebShell不仅威胁一个站点的安全,而是威胁主机及其他网站的安全。
其次,在定义文件上传路径的时候,也最好做一下过滤,例如使用IIS的主机在支持ASP的情况下(当然运行本论坛是必须支持php的)在一些同时支持asp和php主机的情况下,如定义的文件上传路径是“upload.asp”这样的,那么在该目录下的asp文件即使被命名成了.jpg也可以运行。即:http://www.target.com/upload.asp/test.jpg 这样的,如果test.jpg是一个asp文件,也是可以运行的,这个是IIS的一个漏洞,貌似至今也未解决,在一个asp的cms中,甚至一些编辑器中的上传部分,可以定义上传路径的,有很多就存在这个漏洞。因为一旦猜到了用的编辑器及其路径,很多都是不用登陆后台也可以调用编辑器的。
4、UBB处理:
如下图这种链接到含两个参数的url时,貌似就无法正常显示超链接了。
5、字号及字色显示:
个人感觉这个功能几乎没用到,即使设置了字号也只是变更了版主帖子的字号。其他的都没变,而且如果非要改变字号的话,需要每浏览一篇帖子,就要重新设置一次,不太实用。建议是如果保留这个功能,最好能在客户浏览的时候把字号定义保存到session或客户的cookie中,而且针对所有帖子,这样只设置一次,对所有的帖子都有效,也就显得更实用了。
相关附件如下:    (本帖被作者修改过16次,最后一次修改时间2008-03-26 10:45:23) |
index »
意见/建议/BUG提交 » 几点小意见 
字号
字色
11843938
几点小意见 
