作者:nemohou
版本:V1.0.1
请在遵守保密协议及审核规范的前提下认真审核
【应用名称】
- 不能含有“官方,推荐”等类似误导站长的字样
- 不能含有涉嫌“和谐”内容的字样
【LOGO】
- 必须上传 LOGO 图片
- 同一作者的多个插件不能共用一个 LOGO(需合并安装的除外)
【简介】
- 不能包含“官方推荐,官方合作”等类似误导站长的介绍
- 不能包含任何非应用中心的收费版或授权销售推广链接(比如,点此购买高级版,如果这个链接是跳转到应用中心收费版的可以,跳转到非应用中心其他网站的不可以)
- 不能包含下载外站文件等的链接(比如在简介中提供一个链接要求用户点链接下载文件并放置到某文件夹或覆盖某文件后插件才能正常使用,这种情况是不被允许的)
- 对于审核时不明白用法的插件应要求作者再简介中注明使用方法或者提供使用说明文档给用户
【预览截图】
- 必须含有至少一个预览截图
- 预览截图内容应与插件功能相符
- 预览图的样式应模板的样式相符,不相符的地方要有说明
- 模版的后台预览图大小要符合要求且要能正确的显示模板样式,不能有大面积的广告
- 截图上不允许大面积植入广告、色情等违法等内容
- 截图中不允许有包含背景的大型文字 (on V1.0.1)
【版本相关】
- 版本名称应简单易懂
- 不允许一个版本发布一个应用,不同版本要放在同一个应用下
- 模版的同一版本不同色彩样式要放在同一应用中,不能换个颜色就新增一个应用
- 404相关的页面类应用归入扩展分类
- 程序升级应使用版本升级功能,而不能每次升级都新建一个版本
- 有的开发者会把扩展文件以组件或者版本的形式发布然后让站长手动去移动,这是不允许的,同样的还有把版本升级文件以组件的形式发布,这也是不允许的,升级必须要使用版本升级功能
【安装使用】
- 能够正常在应用中心下载安装成功,需要审核员“越狱”安装的必须备注清晰
- 需要授权码之类的应要求开发者提供测试试用码
- 安装完成启用后,插件应该就可以使用,而不能再进行其他安装类操作
- 插件启用后后台设置,表单提交等功能应能正常使用,不能出现 SQL 报错或白页等类似的错误
- 插件前台功能应与描述相符,无明显 Bug
- 如果插件必须一来另一应用才能正常使用,则该插件与那个应用必须设置为合并安装,若因收费等原因不能设置合并安装,则应在简介的显著位置说明清楚
- 扩展应正确打包,下载安装后即可使用,不允许要求站长下载后再手动移动文件
- 一些作者注明测试或者自用等的应用审核通过后应设置为上架(隐藏)状态
- 模版在主流浏览器下不能错位,不兼容 IE6 或者宽版的要在简介中说明
- 免费插件前台和后台均不能有非应用中心付费版或授权销售的推广链接
【类型相关】
- 单机 Flash 游戏或网页游戏类的插件不允许发布
- 在线后台服务器文件管理类应用不允许发布
- 功能过于简单或页面样式过于粗糙的应用不允许发布
- 直接 iframe 外嵌其他网站且没有和论坛互动功能的不允许发布(官方合作的除外)
【内容相关】
- 应用主体功能为 iframe 或者 js 直接嵌套外站的,不允许通过
- iframe 中嵌套的外部站点链接,非认证用户只允许嵌套知名网站链接,不允许嵌套私人小网站等安全性不可确认的网站,已认证用户不受此约束
- 代码不可加密,要有比较整洁的代码格式,格式太乱导致阅读困难的插件不予通过
- 插件不能有对 plugin 目录以外任何文件的操作,包括修改删除源文件或新增其他文件(缓存目录除外),如果有写 log 或者类似 sitemap.xml 这样的文件,应用卸载程序中应该有删除这些文件的操作
- 插件在安装或运行过程中,如果在缓存目录写了文件,那么在卸载插件时要能自动将这些文件删除
- 注意模版是否设置了合并安装其他的垃圾插件,之前遇到过一个开发者开发了大量的免费广告性质插件,而用户安装他的免费模版时就会自动合并安装他的十几个插件,这种是不允许的
【安全相关】
- 根据 Discuz! 版本的不同和数据库操作方式的不同,所有涉及数据库操作的 GET POST Request Cookie 变量和 getgpc() 函数获取的变量都要进行安全过滤
- 所有参与文件操作的 GET POST Request Cookie 变量和 getgpc() 函数获取的变量都要进行安全过滤和合法性验证(如以上变量作为被操作文件的路径或文件名称时)
- 有的开发者会对 GET 等变量进行统一处理或封装,注意他们的处理是否安全
- 所有进行表单处理或请求处理的文件中都应验证请求来路的合法性
- 所有文件开头都要有 IN_DISCUZ、IN_ADMINCP 判断(个别 api 接口文件除外)
- 根据插件的不同,有的变量需要进行 htmlspecialchars() 过滤,以防止 XSS 漏洞
- 对系统敏感数据表如 post、thread、member 表的 SQL 操作,要注意效率问题
- 前台对一些表单或请求的处理,还要验证下用户权限
- 注意代码中匹配替换的地方
- 根据扫描结果,跟踪文件操作函数和其他敏感函数,确定这些函数的使用都是合法的安全的。注意模版中的一些敏感函数,如 eval() 等
- 注意代码中一些匹配替换的地方是否是合法的操作,并注意代码中是否有通过各种手段非法拼凑活截断加入非法链接或代码的地方
- 文件目录中不能有与插件不相关的文件,如一些 bak、svn 文件等
- 根据扫描结果,跟踪各种 SQL 操作,以防止 SQL 注入,即要确定 SQL 语句中最后操作的变量都是安全的,注意对关键表如 member 表的 SQL 操作性能问题
- 注意一些敏感操作是否有验证请求来源合法性或者权限,很多开发者都不会使用 submitcheck() 函数,而是直接“if(GET[xxxx])”就进行各种操作了
- 有的开发者文件中存在非法操作,指出后他会修改,但审核通过后他又会更新改回去,这种现象常见与对 plugin 目录外的文件操作
|
上一篇: IIS7.5虚拟主机伪静态和301重定向怎么写入一个web.config文件里呢?下一篇: SEO超级PING老帖子如何提交ping
|
