Discuz应用中心插件被打回的各种原因

dly · 发表于 2014-8-18 20:41:36

涉及数据库操作的 GET、POST、Request、Cookie 变量和 getgpc() 函数获取的变量没有进行安全过滤
表单处理或请求处理的文件没有验证请求来路的合法性，要添加 submitcheck()或formhash验证
前台文件开头没有 IN_DISCUZ判断，后台文件没有IN_ADMINCP判断（个别 api 接口文件除外）
对于输出到页面中的某些变量没进行 htmlspecialchars() 过滤，存在 XSS 漏洞
文件目录中包含与插件不相关的文件，如一些 bak、svn 文件等
单机 Flash 游戏或网页游戏类的插件不允许发布
在线后台服务器文件管理类等涉及安全的应用不允许发布，如FTP类应用
功能过于简单或页面样式过于粗糙的应用不允许发布
禁止在代码中通过隐藏暗链的方式给自己网站增加 SEO
插件不能有对 plugin 目录以外任何文件的操作，包括修改删除源文件或新增其他文件（缓存目录除外），如果有写 log 或者类似 sitemap.xml 这样的文件，应用卸载程序中应该有删除这些文件的操作
如果插件必须依赖另一应用才能正常使用，则该插件与那个应用必须设置为合并安装，若因收费等原因不能设置合并安装，则应在简介的显著位置说明清楚
需要授权码之类的应要求开发者提供测试试用码，在备注中说明
应用包含自身版权保护功能的，必须在备注中清晰注明“越狱”方法，以供审核员审查
应用的LOGO或截图没有
涉及搜索的插件，使用LIKE匹配时需注意调用function_core中的stripsearchkey过滤搜索词或者自行使用addcslashes过滤搜索词，如：addcslashes($keyword, '%_')

以上各种原因由Discuz教程网收集整理，转载请注明出处

[应用中心] Discuz应用中心插件被打回的各种原因

相关帖子