有越来越多的志同道合的朋友加入的Gnuboard开发队伍中来。

其中包括发行GNU Board 4.34.07 (Builder Ver 1.6)的free-soft.cc www.freesoft.co网站。

但是部分网友表示Free-soft在Chinaz等国内源码站点发行其改版之后的Gnuboard是未加注改版声明，

并在软件名称及版本号上与Gfans发行的Gnuboard相似，导致很多网友混淆。

 

对此Gfans发布声明。

 

Gfans发行的Gnuboard中文版系列最接近原版，仅仅修改过zip.php（邮编），

韩文检测（修改为汉字检测），韩国身份证（改为中国身份证）其余均与原版相同。

 

Free-soft发行的版本经过大量修改，更接近CMS系统。

本站与Free-soft无任何关系。

使用Free-soft发行的Gnuboard而产生任何问题与本站无关。

 

支持批量上传

【方便快捷的Swfupload上传组件】

支持自动压缩图片

【cpu占用极少 利用DQ引擎】

目录图片自动压缩

【主题内上传第一章图片】

内容图片自动压缩

【所有图片在内容页显示缩略图点击后打开大图】

 

比较适合用于模特信息等，没有评论功能，需要的自己添加。

安装注意： Skin需要两个功能扩展 请到功能扩展下载安装必须：Dq引擎

负责图片压缩必须：swfupload

批量上传组件可选：Zmspam 认证码 【如果只是会员发帖不安装也可以】

安装方式：扩展程序安装之后解压缩skin文件上传到 根目录/board/skin 然后进入论坛设定即可。

调整缩略图尺寸： 目录显示缩略图尺寸 修改list.skin.php

内容显示图片缩略图尺寸 修改view.skin.php

部分空间可能因为权限问题需要手动创建缩略图目录根目录/data/file/论坛ID/thumb 属性707

由于有自动压缩图片功能，所以服务器的GD库版本必须高于2.01版本才能正常运转！

 

1.自动将上传的一个附件（必须是图片格式的）显示在list页面中，并可以调整尺寸，

Gfans使用的尺寸压缩好只有30字节左右，非常节省流量。

 

2.此skin包含广告代码。一共有两处，如果对您的站点影响不大的话尽可能保留吧。

删除也没意见。

list.skin.php页面 320行 view_comment.skin.php 页面 25行不需要直接删除代码或注释掉就可以了

       
4.34.16 升级至4.34.19的方法：

bbs/kcaptcha_result.php

skin/member/basic/_common.php

bbs/search.php

lib/common.lib.php

HISTORY

 

 

托管于上海联通漕河泾数据中心(原网通)

线路处于网通优化段内，联通（网通）用户访问速度非常快。

南方大部分地区电信，移动访问速度也还可以。

由于资源闲置，愿意在满足以下条件前提下提供无偿虚拟主机服务。

 

1.必须使用Gnuboard开发建立的网站

2.针对中小企业站点及个人站点

3.不得含有国家政策法规禁止的内容

4.必须已取得icp备案

5.提供有效的网站所有人身份证件。

 

需要的朋友站内短信联系。

 

 

已成功入住站点：

 

http://www.yedao.me 三亚椰岛风情度假公寓

http://www.023yuesao.net 重庆月嫂服务中心

http://www.dgxinda.cn 生活-家 建材 家居

 

 

服务器运行状况

 

1.CPU 负载 （月统计）

 

2.网络使用量 月统计

 

基于Gnuboard的网站建设：

Gfans团队拥有多年的网站策划、开发、运营经验。建立过地方性门户网站，企业网站，免费主页空间（类似博客）

等开发项目。可以提供网站策划、设计、程序开发、运营指导一系列相关支持。

http://www.gfans.me

QQ:153446630  Email:gfans@live.com

 

其他：

---

服务器硬件销售：

强氧服务器是国内新近崛起并市场占有率迅猛增长的专业服务器整机和配件供应商，其前身深圳嘉创电脑自2002年以来一直从事销售服务器相关的产品，具有丰富的业内经验和良好的口碑，并同INTEL、SUPERMICRO、MSI、TYAN等知名厂商有密切的合作和良好的关系，不仅客户遍及全国，2006年以来更进一步开拓了香港、韩国、日本和印度、巴基斯坦的销售，正在努力成为一流的国内自有品牌服务器产品供应商。

QQ:67251032

---

安全防护领域及游戏开发

Goldping团队拥有多年DDOS攻击安全防护经验。

针对游戏拒绝服务攻击，假人攻击，CC攻击等均有强有力的防护方案。

至今为数家大型游戏企业进行安全防护工作。

http://www.goldping.net

QQ:471980410

1.下载最新版本

2.下载到本地后解压缩后上传至FTP，如果是vps或支持ssh的空间可以直接上传压缩包后在服务器上解压。

3.将文件根目录属性设置为707。

4.点击 http://localhost/install/  (其中localhost是你的站点域名) 程序进入安装界面

5.根据安装界面提示输入相关信息

6.大部分情况下install文件会自动更名，但是为了安全期间还是通过ftp把install文件删除掉。

7.通过创建的管理员id和密码登录 http://localhost/adm/ 这里是管理地址。

如果在Gfans.me找到了你所需要的东西

如果你觉得Gfans.me还不错

 

恰巧支付宝里有余额。。。。

 

请通过支付宝直接到帐方式向 Gfans.me进行赞助

 

不过请注意：

 

赞助行为属于个人行为，Gfans并不保证因为提供赞助了而为赞助者提供一些特别服务。

 

您的赞助资金将主要用于服务器的维护及相关域名的续费等事项。

 

支付宝账户： mizhu_cn@163.com

 

 

4.34.14 (11.10.04)
最后更新2011.10.05  09:30 在此之前下载的用户请覆盖一下文件

主要修复可以通过回复操作可以进行XSS攻击

    :  [安全补丁] 注册新用户时通过特殊数据字段进行数据注入攻击
    :  [安全补丁] 防止通过回复文章，阅读文章，或添加某些链接进行XSS攻击

        bbs/register_form_update.php 添加了以下代码

            $mb_homepage = trim(strip_tags(mysql_escape_string($_POST[mb_homepage])));

        bbs/write_update.php 添加了以下代码 
           
            $wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
            $wr_link2 = mysql_real_escape_string($_POST['wr_link2']);

        bbs/write.php 添加了以下代码 

            else if ($w == "u") {
                ...
                for ($i=1; $i<=$g4[link_count]; $i++) {
                    $write["wr_link".$i] = get_text($write["wr_link".$i]);
                    $link[$i] = $write["wr_link".$i];
                }
                ...
            } else if ($w == "r") {
                ...
                for ($i=1; $i<=$g4[link_count]; $i++) {
                    $write["wr_link".$i] = get_text($write["wr_link".$i]);
                }

4.34.13 (11.10.01)
    :  [安全补丁] 修正会员注册及会员资料修改时会出现一些非法字段的bug

  涉及文件：bbs/register_form.php

            $member[mb_email]      = get_text($member[mb_email]);
            ... 省略 ...
            $member[mb_10]          = get_text($member[mb_10]);

        adm/member_form.php

            $mb[mb_email]      = get_text($mb[mb_email]);
            ... 省略 ...
            $mb[mb_10]          = get_text($mb[mb_10]);

        lib/common.lib.php

            function get_sideview($mb_id, $name="", $email="", $homepage="") 添加了以下几个代码

            $name    = get_text($name);
            $email    = get_text($email);
            $homepage = get_text($homepage);
4.34.12 (11.09.22)
    :  修改新文章或新评论设置为邮件通知时部分会员不能接收的问题

        bbs/write_update.php
        bbs/write_comment_update.php

            仅更换了下边这行代码

            $unique_email = array_values($unique_email);
4.34.11 (11.09.20)
    :  韩国邮编编码变更

        bbs/zip.db
4.34.10 (11.08.10)
    :  [安全补丁] 预防$_SERVER 通过修改变量进行 SQL Injection 攻击
        (SK Infosec 提供)

        bbs/visit_insert.inc.php 页面中

            $sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$_SERVER[REMOTE_ADDR]', '$g4[time_ymd]', '$g4[time_his]', '$_SERVER[HTTP_REFERER]', '$_SERVER[HTTP_USER_AGENT]' ) ";

            替换成以下代码

            $remote_addr = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
            $referer    = mysql_real_escape_string($_SERVER['HTTP_REFERER']);
            $user_agent  = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);
            $sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$remote_addr', '$g4[time_ymd]', '$g4[time_his]', '$referer', '$user_agent' ) ";

4.34.09 (11.07.26)
    :   admin.menu300.php.bak 不引用到栏目显示中
        ( pogusm 提供 )

        adm/admin.lib.php

            if (!preg_match("/^admin.menu([0-9]{3}).*\.php$/", $entry, $m))
4.34.08 (11.07.22)
    :  在线人数管理中语言乱码的错误
    :  系统管理 > 论坛管理 > 热门关键词管理, 热门关键词顺序调整

        lib/common.lib.php : is_utf8() 函数添加
        visit_list.php

        adm/admin.menu300.php
        adm/popular_list.php
        adm/popular_rank.php
4.34.07 (11.07.01)
    :  [安全补丁] 通过上传附件方式进行攻击方式
        php.ini 设置中magic_quotes_gpc = Off 时才有可能被次漏洞利用
    :  [安全补丁] CHEDITOR5 中在为允许情况下删除文件的漏洞 ( letsgolee提供 )

        bbs/write_update.php添加以下代码

        if (!get_magic_quotes_gpc()) {
            $upload[$i]['source'] = addslashes($upload[$i]['source']);
        }

        请替换以下代码
       
        cheditor5/imageUpload/upload.php
        cheditor5/imageUpload/delete.php

4.34.06 (11.06.21)
    :  [安全补丁] CHSOFT 法人提供 ( CHEDITOR 作者 )
        基于4.34.05版本的强化安全补丁
        判断上传文件格式

        请替换以下三个文件

        cheditor5/imageUpload/upload.php
        cheditor5/popup/js/image.js
        cheditor5/popup/flash/CHXImage.swf

4.34.05 (11.06.18)
    :  [安全补丁] CHSOFT 法人提供 ( CHEDITOR 作者 )
        GIF Exploit 攻击方式，通过在gif文件中注入php文件进行攻击
        CHEDITOR5 版本将可能受到攻击

        参考) 由于涉及到严重安全隐患，请尽快更新此文件

     
        替换以下文件即可

        cheditor5/imageUpload/upload.php
        cheditor5/popup/js/image.js

        其他安全建议)
        data 目录中不要允许 php 或 html 文件
        请创建下面的文件放到data根目录内

        根目录 : .htaccess (文件名前有点)

        创建内容 :

        <FilesMatch "\.([Pp][Hh][Pp]|[Hh][Tt][Mm][Ll]?|[Ii][Nn][Cc]|[Cc][Gg][Ii]|[Pp][Ll])">
            Order allow,deny
            Deny from all
        </FilesMatch>

4.34.04 (11.05.27)
    :  如果在文章复制或移动时有新的评论内容会导致评论内容会被删除的bug
        (  http://sir.co.kr/bbs/board.php?bo_table=g4_tiptech&wr_id=18926 )

        bbs/move_update.php 页面

        $sql2 = " select * from $write_table where wr_num = '$wr_num' order by wr_parent, wr_comment desc, wr_id ";

        替换成

        $sql2 = " select * from $write_table where wr_num = '$wr_num' order by wr_parent, wr_is_comment, wr_comment desc, wr_id ";

4.34.03 (11.05.17)
    :  [安全补丁] SQL Injection 注入攻击防范补丁
    :  [安全补丁] 通过在图片Tag代码中插入下载链接，通过浏览页面即可下载文件的漏洞
        lib/common.lib.php 页面 get_sql_search() 添加

            $field[$k] = preg_match("/^[\w\,\|]+$/", $field[$k]) ? $field[$k] : "wr_subject";

        lib/common.lib.php 页面 conv_content() 添加
           
            $content = preg_replace("/<(img[^>]+download\.php[^>]+bo_table[^>]+)/i", "*** CSRF 检测 : <$1", $content);

4.34.02 (11.05.16)
5月16日11点添加部分
        bbs/view_comment.php 修改部分

            添加
           
            // 以新窗口方式打开评论发表窗口时由于没有session，所以需要创建一个
            if ($is_admin && !$token)
            {
                set_session("ss_delete_token", $token = uniqid(time()));
            }

-------------------------------------------------------------------------------------

4.34.02 (11.05.13)
    :  [安全补丁] 防止在图片当中插入tag代码，进行数据伪造及变更。
        (韩国国家情报安全中心[i2Sec]提供)
    :  修改完善认证码显示代码
        (letsgolee 提供)

        [安全补丁]

        lib/common.lib.php 页面中 conv_content() 添加以下代码

            $content = preg_replace("/<(img[^>]+delete\.php[^>]+bo_table[^>]+)/i", "*** CSRF 检测 : <$1", $content);
            $content = preg_replace("/<(img[^>]+delete_comment\.php[^>]+bo_table[^>]+)/i", "*** CSRF 检测 : <$1", $content);
            $content = preg_replace("/<(img[^>]+logout\.php[^>]+)/i", "*** CSRF 检测 : <$1", $content);

        bbs/delete.php 与 bbs/delete_comment.php 页面添加以下代码

        if ($is_admin)
        {
            if (!($token && get_session("ss_delete_token") == $token))
                alert("认证错误！删除失败！");
        }
           
        bbs/view.php 页面添加

            if ($is_admin)
            {
                set_session("ss_delete_token", $token = uniqid(time()));
                $delete_href = "javascript:del('./delete.php?bo_table=$bo_table&wr_id=$wr_id&token=$token&page=$page".urldecode($qstr)."');";
            }

        bbs/view_comment.php 页面添加修改

            添加
           
            // 打开新窗口时创建session
            if ($is_admin && !$token)
            {
                set_session("ss_delete_token", $token = uniqid(time()));
            }

            ...

            修改

            $list[$i][del_link]  = "./delete_comment.php?bo_table=$bo_table&comment_id=$row[wr_id]&token=$token&cwin=$cwin&page=$page".$qstr;

        [认证码变更]

        js/jquery.kcaptcha.js 全部内容

        skin/board/basic/view_comment.skin.php 替换成如下，请使用其他skin时做参考

            jQuery.fn.extend({...}); 删除这个部分

            //jQuery(this).kcaptcha_load(); 使用这个代码代替
            if (comment_id && work == 'c')
                $.kcaptcha_run();
4.34.01 (11.05.11)
:  修复游客模式下发表评论或回帖时认证码显示错误的问题
        使用了4.33.00版本中的代码 .
        缺点) 暂时不能更新认证码图片

        skin/board/basic/view_comment.skin.php 修改成如下代码

        jQuery.fn.extend({
            kcaptcha_load: function() {
                $.ajax({
                    type: 'POST',
                    url: g4_path+'/'+g4_bbs+'/kcaptcha_session.php',
                    cache: false,
                    async: false,
                    success: function(text) {
                        $('#kcaptcha_image')
                            .attr('src', g4_path+'/'+g4_bbs+'/kcaptcha_image.php?t=' + (new Date).getTime())
                            .css('cursor', '')
                            .attr('title', '');
                        md5_norobot_key = text;
                    }
                });
            }
        });

        function comment_box(comment_id, work)
        {
            ...
            if (typeof(wrestInitialized) != 'undefined')
                wrestInitialized();

            jQuery(this).kcaptcha_load();)
4.34.00 (11.04.29)
    :  [安全补丁] 完善4.33.10～4.33.11安全补丁
此版本开始包含新版本的可视化编辑器。如果不需要请更新时不要上传覆盖以下文件。
lib/cheditor4.lib.php
cheditor5

如果使用Cheditor5
非官方发布的Skin都要做相应修改。

修改方法：
  skin/board/skin的目录名称/write.skin.php 

            <?
            if ($is_dhtml_editor) echo cheditor3('wr_content');
            ?>

            if (document.getElementById('tx_wr_content')) {
                if (!ed_wr_content.outputBodyText()) {
                    alert('请输入内容');
                    ed_wr_content.returnFalse();
                    return false;
                }
            }

            替换成

            if (document.getElementById('tx_wr_content')) {
                if (!ed_wr_content.outputBodyText()) {
                    alert('请输入内容');
                    ed_wr_content.returnFalse();
                    return false;
                }
            }

            <?
            if ($is_dhtml_editor) echo cheditor3('wr_content');
            ?>

安全补丁涉及修改文件：
        bbs/register_form.php

            /*
            if (!($member[mb_password] == sql_password($_POST[mb_password]) && $_POST[mb_password]))
                alert("输入的密码错误！");

            // 为了修改后返回临时保存
            set_session("ss_tmp_password", $_POST[mb_password]);
            */

            if ($_POST['mb_password']) {
                // 修改后返回的数据为加密数据
                if ($_POST['is_update'])
                    $tmp_password = $_POST['mb_password'];
                else
                    $tmp_password = sql_password($_POST['mb_password']);

                if ($member['mb_password'] != $tmp_password)
                    alert("您输入的密码错误！");
            }

        bbs/register_form_update.php

           

            $row  = sql_fetch(" select mb_password from $g4[member_table] where mb_id = '$member[mb_id]' ");
            $tmp_password = $row['mb_password'];

            ...

            <input type='hidden' name='is_update' value='1'>

 

2011-4-19
首先在此感谢所有支持Gnuboard中文版的网友，同时也在这里因未能及时更新中文版表示歉意。
由于2月1日起一直在重庆，广东，海南之间飘来飘去，没有固定地点，没有固定时间可以及时更新g4的各项数据，
仅仅在有空的时候发布了更新提示，有些对g4及php较深入的会员都根据更新提示自行更新了，但是对于新手来讲还是比较困难的。
这次刚回到重庆暂住地，把春节期间累计更新全部更新好了。建议新用户直接下载4.33.09版本。

4.33.09 (11.04.15)
    :   以下两个漏洞是通过韩国互联网促进协会(KISA)
        由仙林互联网高级学校1年级学生 姜仁旭（音译）提供。在此表示感谢！

        XSS 漏洞
        未屏蔽embed, object代码时可通过此代码进行跳板攻击
        lib/common.lib.php 中修改了两个代码

        function conv_content($content, $html)
           
            ...

            //$content = preg_replace("/(ex)(pression)/i", "e&#120;$2", $content);
            ...
            // 防止出现此类情况 <IMG STYLE="xss:__EXPRESSION__(alert('XSS'))">
            $content = preg_replace("#\/\*.*\*\/#iU", "", $content);

            $pattern = "";
            $pattern .= "(e|&#(x65|101);?)";
            $pattern .= "(x|&#(x78|120);?)";
            $pattern .= "(p|&#(x70|112);?)";
            $pattern .= "(r|&#(x72|114);?)";
            $pattern .= "(e|&#(x65|101);?)";
            $pattern .= "(s|&#(x73|115);?)";
            $pattern .= "(s|&#(x73|115);?)";
            $pattern .= "(i|&#(x6a|105);?)";
            $pattern .= "(o|&#(x6f|111);?)";
            $pattern .= "(n|&#(x6e|110);?)";
            $content = preg_replace("/".$pattern."/i", "____EXPRESSION____", $content);

        ...

        function bad_tag_convert($code)
           
            ...

            if ($is_admin && $member[mb_id] != $view[mb_id]) {
                //$code = preg_replace_callback("#(\<(embed|object)[^\>]*)\>(\<\/(embed|object)\>)?#i",
                // 开启embed 或 object代码时自动屏蔽危险代码
                $code = preg_replace_callback("#(\<(embed|object)[^\>]*)\>?(\<\/(embed|object)\>)?#i",
                            create_function('$matches', 'return "<div class=\"embedx\">考虑安全原因，请勿使用管理员账号浏览含有代码的主题内容！</div>";'),
                            $code);
            }

            //return preg_replace("/\<([\/]?)(script|iframe)([^\>]*)\>/i", "<$1$2$3>", $code);
            // 开启script 或 iframe时自动屏蔽危险代码
            return preg_replace("/\<([\/]?)(script|iframe)([^\>]*)\>?/i", "<$1$2$3>", $code);
4.33.08 (11.04.01)
    :  以下两个漏洞是通过韩国互联网促进协会(KISA)
        由仙林互联网高级学校1年级学生 姜仁旭（音译）提供。在此表示感谢！
    :  [安全补丁] XSS(Cross Site scripting) 漏洞完善
        此漏洞是利用 XML的 namespace进行攻击的一种方式。
        在论坛中不开启DHTML功能时可能会被此漏洞攻击。
    :  [安全补丁] RFI(Remote File Inclusion) 远程上传附件攻击方式
        通过获取管理员权限后，在论坛顶部及底部样式上传中添加恶意代码，通过利用
        Data URI scheme (http://en.wikipedia.org/wiki/Data_URI_scheme) 
        方式，在服务器创建remote文件，并利用 remote文件攻击其他服务器。
        只有在PHP版本 5.x 以上，而且开启了 allow_url_fopen 设置为 On 的情况下才有可能发生。
       
        lib/common.lib.php

            $content = preg_replace("/\<(\w|\s|\?)*(xml)/i", "", $content);

        adm/board_form.php

            <tr class='ht'>
                <td colspan='2'>
                    管理员密码
                </td>
                <td>
                    <input class='ed' type='password' name='admin_password' itemname="管理员密码" required>
                    <?=help("为了确保管理员账户安全，请您重新输入管理员密码");?>
                </td>
            </tr>

        adm/board_form_update.php

            if ($member[mb_password] != sql_password($_POST['admin_password'])) {
                alert("登录密码错误！“);
            }
           
4.33.07 (11.03.22)
    :  通告引用地址数据表未添加导致发生部分问题
        (由于几乎不使用的功能，如果您没有相关需求可以不进行更新)
    :  修复引用通告地址时出现乱码的问题

        bbs/write_update.php

        if ($msg) {
            echo "<meta http-equiv='content-type' content='text/html; charset={$g4['charset']}'>\n";
            echo "<script type='text/javascript'>alert('$msg $wr_trackback');</script>";
        }
4.33.06 (11.02.22)
    :  [安全补丁] 拦截垃圾信息/群发广告程序完善与更新

        G4之前版本默认使用了PHPSESSID，但PHPSESSID可以通过一些途径获取
        相关数值，以便进行在论坛群发垃圾信息。
 新版本采取新的认证方式，使客户端无法分析，同时限制5次输入，超出次数
 自动屏蔽发表功能。

        参考) 如果站内出现垃圾/广告信息请您尽可能使用会员模式运营。
       会员必须登录后才能发表主题与评论。 
 涉及文件
        js/jquery.kcaptcha.js
        bbs/kcaptcha_session.php
        bbs/kcaptcha_result.php

【提示】由于11年2月份传统节假日春节的原因，Gfans的更新未能与韩国官方同步。
期间官方更新4.33.02～4.33.05版本。4.33.06版本已经包含了期间所有的更新与补丁。
4.33.01的用户直接更新4.33.06版本即可。

4.33.02～4.33.05版本更新简要内容：

4.33.05 (11.02.20)
    :  [安全补丁] 关于论坛内群发垃圾信息的功能更新
       
        由于出现通过判断G4随机md5数值进行垃圾信息发布软件
        更新了部分代码
 
 涉及文件:

        js/jquery.kcaptcha.js
        bbs/kcaptcha_session.php
        skin/board/basic/write.skin.php
        skin/board/basic/view_comment.skin.php
        skin/member/basic/formmail.skin.php
        skin/member/basic/memo_form.skin.php
        skin/member/basic/password_lost.skin.php
        skin/member/basic/register_form.skin.php

        -------------------------------------------------------------------------
            其他) 相应Skin文件修改办法
        -------------------------------------------------------------------------
           
            if (typeof(f.wr_key) != 'undefined') {
                if (hex_md5(f.wr_key.value) != md5_norobot_key) {
                    alert('认证码输入有误，请重新输入！');
                    f.wr_key.select();
                    f.wr_key.focus();
                    return false;
                }
            }

   修改为：

            if (!check_kcaptcha(f.wr_key)) {
                return false;
            }

  

        -------------------------------------------------------------------------

4.33.04 (11.02.12)
 如尚未更新4.33.03版本的用户请直接更新4.33.04版本。 
    :  4.33.03 版本中更新的 common.php效果不理想，暂时返回到4.33.02版本内容
    :  4.33.03 版本中更新的 adm/member_form.php 对此版本的部分错误进行修改

        common.php

            if (isset($sca))  {
                $sca = mysql_real_escape_string($sca);
                $qstr .= '&sca=' . urlencode($sca);
            }

            if (isset($sfl))  {
                $sfl = mysql_real_escape_string($sfl);
                $qstr .= '&sfl=' . urlencode($sfl); // search field (搜索字段)
            }

            if (isset($stx))  { // search text (关键词)
                $stx = mysql_real_escape_string($stx);
                $qstr .= '&stx=' . urlencode($stx);
            }

            if (isset($sst))  {
                $sst = mysql_real_escape_string($sst);
                $qstr .= '&sst=' . urlencode($sst); // search sort (搜索排列)
            }

        adm/member_form.php

            <?=get_member_level_select("mb_level", 1, $member[mb_level], $mb[mb_level])?>
4.33.03 (11.02.10)
    :  会员等级部分代码修改及优化
    :  [Bug修复]当阅读主题需要支付积分，且浏览等级设定为1时出现的积分不能正常扣除的Bug
    :  [安全补丁] SQL INJECTION 注入攻击补丁
 涉及文件及代码
        adm/member_form.php

            <?=get_member_level_select("mb_level", 1, $member[mb_level], $member[mb_level])?>

        bbs/board.php

            if (!get_session($ss_name))
            {
                sql_query(" update $write_table set wr_hit = wr_hit + 1 where wr_id = '$wr_id' ");

                // 如果是作者本人就通过
                if ($write[mb_id] && $write[mb_id] == $member[mb_id]) {
                    ;
                } else if ($is_guest && $board[bo_read_level] == 1 && $write[wr_ip] == $_SERVER['REMOTE_ADDR']) {
                    // 访问者为游客，主题浏览等级设定为1且IP相同就判定为自己的文章
                    ;
                } else {
                    /*
                    // 正式会员才能阅读时
                    if ($board[bo_read_level] > 1) {
                        if ($member[mb_point] + $board[bo_read_point] < 0)
                            alert("当前积分(".number_format($member[mb_point]).")不足支付浏览文章所需的积分(".number_format($board[bo_read_point]).")\\n\\n");

                        insert_point($member[mb_id], $board[bo_read_point], "$board[bo_subject] $wr_id 浏览", $bo_table, $wr_id, '浏览');
                    }
                    */
                    // 积分设定判断
                    if ($board[bo_read_point] && $member[mb_point] + $board[bo_read_point] < 0)
                        alert("当前积分(".number_format($member[mb_point]).")不足支付浏览文章所需的积分(".number_format($board[bo_read_point]).")\\n\\n");

                    insert_point($member[mb_id], $board[bo_read_point], "$board[bo_subject] $wr_id 浏览", $bo_table, $wr_id, '浏览');
                }

                set_session($ss_name, TRUE);
            }

        common.php
       
            if (isset($sca))  {
                $sca = preg_replace("/([\'\"\`\<\>\(\)\;\/~@?=%&!]+)/", "", $sca);
                $qstr .= '&sca=' . urlencode($sca);
            }

            if (isset($sfl))  {
                $sfl = preg_replace("/([\'\"\`\<\>\(\)\;\/~@?=%&!]+)/", "", $sfl);
                $qstr .= '&sfl=' . urlencode($sfl); // search field (搜索字段)
            }

            if (isset($stx))  { // search text (关键词)
                $stx = preg_replace("/([\'\"\`\<\>\(\)\;\/~@?=%&!]+)/", "", $stx);
                $qstr .= '&stx=' . urlencode($stx);
            }

            if (isset($sst))  {
                $sst = preg_replace("/([\'\"\`\<\>\(\)\;\/~@?=%&!]+)/", "", $sst);
                $qstr .= '&sst=' . urlencode($sst); // search sort (搜索排列)
            }
4.33.02 (11.01.24)
    :  [安全补丁] LFI(Local File Include )
        LFI 漏洞对应补丁 (SK安全小组提供)

        common.php
            if ($_GET['g4_path'] || $_POST['g4_path'] || $_COOKIE['g4_path']) { ... }
            仅更改以上代码

4.33.01 (11.01.10)
    :  [安全补丁] XSS / CSRF 攻击预防
        更新完善4.33.00版本中中禁止object执行Flash程序
 涉及文件
        lib/common.lib.php
        的 bad_tag_convert()修改
 已经升级过4.33.00版本的用户只需覆盖lib/common.lib.php文件即可

4.33.00 (11.01.06)
    :  [安全补丁] XSS / CSRF
        利用Flash文件的 ACTION scRIPT获取管理员Session值，并共享管理员Session最终导致可以获得管理员权限的
 严重Bug!
 请尽快安装覆盖一下文件或自行修改一下代码
       
 === 重要 ===
        lib/common.lib.php
             bad_tag_convert(), view_file_link() 代码修改

        skin/board/basic/view_comment.skin.php
 [如果已安装其他第三方skin文件请参考本文修改]
             $str = preg_replace("/\[\\]/i", "<script>doc_write(flash_movie('$1://$2.$3'));</script>", $str);
            删除或注释以上代码
        bbs/login_check.php
            添加ss_mb_key sesion值
        adm/admin.lib.php
            比较 ss_mb_key 值
     
 === 重要文件 ===

        adm/config_form.php
        adm/config_form_update.php
        adm/auth_list.php
        adm/auth_update.php
        adm/member_form.php
        adm/member_form_update.php
        adm/point_list.php
        adm/point_update.php

除修改文件以外希望所有管理员养成不用Admin帐户在站内浏览主题的习惯。
最高管理员，默认admin帐号仅用来后台管理。管理员浏览站内文章时用普通帐号即可避免此类攻击方法。

4.32.15 (10.12.28)
    :  [安全补丁] $write_table 变量初始化

    涉及文件    common.php

只需修改添加以下部分即可

$write_table = "";

建议：
删除data目录中的php,htm,html文件，
在linux下可以使用以下命令搜索
find -name '*.php' -o -name '*.htm' -o -name '*.html'

默认包含的index.php也可以删除

汉化遗漏的汉化图片及文件  （感谢会员枫提交bug）
skin/board/basic/img/co_btn_good_write2.gif
cheditor4/icons/submit.gif

4.32.14 (10.12.07)
    :  修改开启新内容邮件通知功能部分代码
    :  修改会员积分为负数时发表评论出现的bug
    :  修改4.32.13版本中后台管理员等级显示1～100级，修改为1～10级
    :  修改Cheditor.js中部分笔误

        bbs/write_update.php
        bbs/write_comment_update.php
4.32.13修正版 (2010.11.13)修正内容：
仅仅修改中文版发行时的错别字及部分汉化过程中出现的问题，所以不修改版本号，仅增加修正版

 1.  2010-11-13 01：00前下载的用户请重新下载或覆盖cheditor.js文件 【修正汉化遗漏部分】\gnuboard4.utf8_chn\cheditor4\cheditor.js
 2.  未开启详细地址输入时出现数据错误 无法错误问题  \gnuboard4.utf8_chn\bbs\register_form_update.php
 3.  修正默认登录模板在部分海外虚拟主机出现乱码的问题
 4.  强制设置utf8_general_ci编码格式【mysql编码格式未设置utf8_general_ci时出现乱码，修改后强制设置utf8_general_ci编码格式】

4.32.13 （2010.11.02）
    :  [安全补丁] 当天上午发布的.13版本更新是疏漏代码导致出现可以修改别人发表的评论的漏洞 11月2日中午前下载的用户请及时覆盖文件
        bbs/write_update.php
 
------------------------------------------------------------------------------------------
    :  [安全补丁] 必须使用加密内容的论坛板块内，禁止发表主题后通过修改方式将加密状态解除。（管理员除外）
    :  [安全补丁] 可以修改别人文章的漏洞
    :  修改注册会员及修改信息是公开信息部分的介绍文字

        bbs/write_update.php
        skin/member/basic/register_form.skin.php
4.32.12 (10.10.21)
    :   [安全补丁] 为了屏蔽最近有很多通过站内短信发送广告的行为
    :   短信传送方式修改为post
    :   发送短信时需输入认证码

        bbs/memo_form_update.php
        skin/member/basic/memo_form.skin.php

4.32.11 (10.09.11)
    :   [安全补丁] 严重漏洞
        自动登录功能缺陷

        common.php 修改以下内容

        if ($tmp_mb_id = get_cookie("ck_mb_id"))
        {
            $tmp_mb_id = substr(preg_replace("/[^a-zA-Z0-9_]*/", "", $tmp_mb_id), 0, 20);
            // 禁止最高管理员设置自动登录
            if ($tmp_mb_id != $config['cf_admin'])
            {
                $sql = " select mb_password, mb_intercept_date, mb_leave_date, mb_email_certify from {$g4['member_table']} where mb_id = '{$tmp_mb_id}' ";

        common.php

4.32.10 (10.09.07)
    :   完善ID/密码查询功能
        之前使用的 password_forget 不再使用，替代为 password_lost
        注册会员时不再输入忘记密码提问及答案
   
        bbs/password_lost.php
        bbs/password_lost2.php
        bbs/password_lost_certify.php
        skin/member/basic/password_lost.skin.php
        skin/member/basic/register_form.skin.php
        skin/member/basic/login.skin.php            : win_password_forget() -> win_password_lost() 代替
        skin/outlogin/basic/outlogin.skin.1.php     : win_password_forget() -> win_password_lost() 代替
        js/common.js                                : function win_password_lost() 添加

        // 更新此次更新后请删除以下文件
        bbs/password_forget.php
        bbs/password_forget2.php
        bbs/password_forget3.php

4.32.09 (10.09.07)
    :   允许论坛内搜索\符号
   
        lib/common.lib.php                          : $search_text = trim(stripslashes($search_text)); 代替
        skin/board/basic/list.skin.php              : value='<?=stripslashes($stx)?>' 代替

4.32.08 (10.08.25)
    :   url_auto_link() 完善
   
        lib/common.lib.php

4.32.07 (10.08.23)
    :   [安全补丁] 完善XSS(Cross Site scripting) 攻击防御
    :   修正会员积分低于0时在设定发帖需要积分的论坛发贴时出现的错误
    :   会员注册时条款内容checkbox更改为radio  (韩国信产部建议)
    :   更改会员生日选择方式为jquery datepicker

        common.php
        bbs/write.php
        skin/member/basic/register.skin.php
        skin/member/basic/register_form.skin.php

2005-5～2010年10前版本更新简要请参考Sir.co.kr官方网站信息。

Gnuboard是韩国SIR（Solution Infinity Revolution）公司于2001年5月开始开发，发行的建站程序。由于程序体积小，系统负载性能优越，安全性高等特点获得了大量用户。经过几年发展已成为韩国三大建站程序之一。经过几年发展目前Gnuboard已经发展到第四代，Gnuboard4，并同时在韩国Naver开发者平台进行DTD标准化版本的开发。

 

---

 

开源，免费建站平台：

Gnuboard4代码全部开源（GPL协议），所有用户均可免费下载安装使用、包括企业及政府 用户均能享受在遵守GPL开源协议前提下免费利用Gnuboard4建立网站或其他应用。

在保留程序附带的版权协议前提下允许用于2次开发与再次发布。但不包含模板及插件版权。

模板及插件版权请参考作者声明。

 

---

Gnuboard4特点：
1． 开源代码、协同开发平台。用户共同参与建设的建站软件
2． Skin与主程序分离模式，即使不懂php开发语言的用户也可以轻松制作各种各样的风格各异的站点。
3． 多种插件，通过plugin插件的安装可以实现各种网络应用，一套建站软件+插件，即可使站点变成网店，

    搜索引擎，博客，微薄，企业站点等多种不同的功能

 

---

关于中文版：

Gnuboard4是优秀建站程序，为了可以是国内用户也能体验到快速，稳定的程序，Gfans.me根据GPL协议内容，进行了二次开发，对Gnuboard4进行了全面的汉化作业，并修改了部分代码，去除掉一些韩国特有的代码部分。使Gnuboard4更具本土化特性。欢迎喜欢Gnuboard4的朋友一起加入开发完善。

 

 

---

 

 

 

 

安装比较简单，下载后解压缩后上传至Gnuboard根目录即可。

游戏积分比例调整在setup.php文件进行修改。

 

原作者：Sir会员 kcho07

游戏预览：

在线演示：http://www.gfans.me/sprgame/

由于关联会员积分账户，所以一定要登录后才能进行。

玩游戏导致积分不够请站内短信给我。

G4程序默认搭配的网页可视化编辑器是cheditor4，
cheditor4是商业软件。版权协议中实际上是不允许进行2次发布的。Gfans属于违反了cheditor4版权协议。
而且cheditor4功能太多，实际运用途中有很多是没有必要的。
为此特地发布代替cheditor4的Geditor。功能相对减少，当然工作效率是提高了。
安装方法

首先下载解压复制到g4程序根目录

-------------------------------------------------------------------------------------------------------------
 1. upload.php 属性设置为707 负责插入图片上传功能
-------------------------------------------------------------------------------------------------------------
// --
// 如果不能自动创建目录则需要手动创建geditor目录
// --
$path = 'g4安装目录/data/geditor';
// --

-------------------------------------------------------------------------------------------------------------
 2. geditor.js 有基本设定
-------------------------------------------------------------------------------------------------------------
/////////////// 定义 ///////////////
//程序路径
var ge_path             = g4_path + '/geditor';
//图标文件路径
var ge_icon_path        = ge_path + '/icons';
//表情文件路径
var ge_emoticon_path    = ge_path + '/mw.emoticon';
//表情文件数量
var ge_emoticon_count   = 93;

/////////////// 结束 ///////////////

-------------------------------------------------------------------------------------------------------------
 3. 在需要插入编辑器的地方插入
-------------------------------------------------------------------------------------------------------------
<script language="Javascript" src="<?=$g4[path]?>/geditor/geditor.js"></script>

-------------------------------------------------------------------------------------------------------------
 4.  textarea 添加 geditor
-------------------------------------------------------------------------------------------------------------
<textarea name="wr_content" geditor>

--------------------------------------------------------------------------------------------------------
 ex) 参考G4模板使用发 (write.skin.php 文件，当然也可以设定在评论中)
-------------------------------------------------------------------------------------------------------------
..............
<textarea id="wr_content" name="wr_content" class=tx style='width:100%; word-break:break-all;' rows=15 itemname="内容" required
<? if ($is_dhtml_editor) echo ' geditor '; ?>><?=$content?></textarea>
..............
<? if ($is_dhtml_editor) {?>
<script language="Javascript" src="<?=$g4[path]?>/geditor/geditor.js"></script>
<?}?>
[此内容由G4root操作，从2011-11-26 03:22:32 G4功能扩展插件共享 移动 到此]

 

2.最新文章调用

这个举个简单的例子。比如网站有10多个论坛，我想在首页或其他地方比如G4站的左侧最新评论上显示选定的几个论坛的最新主图或最新回复的时候就可以使用最新文章调用，因为G4默认只能调用一个论坛或所有论坛内容，不能选择。所以相对比较方便

3.广告管理功能

有点访问量的站点都会有点广告吧，哪怕是做Google的也好百度联盟也好，怎么样才能自己也做一份统计同时尽可能的减少打卡dw修改页面呢？就用广告管理就可以了，可以设定广告显示时间，广告内容等等。

安装方法：

下载后将文件复制到G4安装目录即可。压缩包内包含目录，选择对应目录吧文件粘贴就可以了。然后进入管理员后台

可以看见多了几个选项。

什么是SWFUpload？

SWFUpload是一个客户端文件上传工具，最初由Vinterwebb.se开发，它通过整合Flash与Javascript技术为WEB开发者提供了一个具有丰富功能继而超越传统<input type="file" />标签的文件上传模式。

SWFUpload的主要特点

* 可以同时上传多个文件；

　　* 类似AJAX的无刷新上传；

　　* 可以显示上传进度；

　　* 良好的浏览器兼容性；

　　* 兼容其他Javascript库 (例如：jQuery, Prototype等)；

　　* 支持Flash 8和Flash 9；

　　SWFUpload不同于其他基于Flash构建的上传工具，它有着优雅的代码设计，开发者可以利用XHTML、CSS和Javascript来随心所欲的定制它在浏览器下的外观；它还提供了一组简明的Javascript事件，借助它们开发者可以方便的在文件上传过程中更新页面内容来营造各种动态效果。

　　在使用SWFUpload之前，请确认你具备一定的Javascript和DOM知识。在实际开发中，大部分的错误都是由于错误的设置和低劣的Event Handlers处理程序所造成的。

swfupload for G4 效果预览：

创建一个文件 write_update.skin.php

代码：

 

认证码演示：http://www.gfans.me/zmSpamFree/

作者：http://www.casternet.com/spamfree/

特性：ZmspamFree可以设定30多宗认证码图片样式，
除部分由于没有字库不能在中文版使用其他大多数都可以使用。
请参考图片

安装指南：
1.下载解压缩 上传至G4根目录， 属性设置为707
2.部分服务器可能不能自动创建日志文件夹，需要手动创建 根目录/data/log/zmSpamFree
属性设置为707，这里是保管认证码日志的地方。默认保留3天数据
3.修改对应模板代码
需要修改的文件
1: write.skin.php 模板文件

<? if ($is_guest) { ?>
<tr>
<td class=write_head>
<input type=hidden name=zsfCodeResult id="zsfCodeResult" value="" >
<script type="text/javascript" src="<?="$g4[path]/zmSpamFree/zmspamfree.js"?>"></script>
<img align=absmiddle src="<?=$g4[path]?>/zmSpamFree/zmSpamFree.php?zsfimg=<?php echo time();?>" id="zsfImg" alt="看不清楚请点击刷新！" title="点击刷新认证码！r" onclick="this.src='<?=$g4[path]?>/zmSpamFree/zmSpamFree.php?re&zsfimg=' + new Date().getTime();" /> 
</td>
<td><input class='ed' type=input size=10 name=wr_key id=wr_key itemname="认证码" required onblur="checkZsfCode(this);">  请输入认证码</td>
</tr>
<tr><td colspan=2 height=1 bgcolor=#e7e7e7></td></tr>
<? } ?>

然后在下方 form submit java script部分 添加ajax确认

if (typeof(f.wr_key) != 'undefined') {

if (!checkFrm()) {
return false;
}
}

2: bbs/write_update.php

// 认证码 - 游客
if (!$is_member) {
if ($w=='' || $w=='r') {
include_once("$g4[path]/zmSpamFree/zmSpamFree.php");
if ( !zsfCheck( $_POST['wr_key'], $_GET['bo_table'] ) ) { alert ('认证码输入有误，请重新输入！'); }
}
}
3.view_comment.skin.php 模板文件

<? if ($is_guest) { ?>
<input type=hidden name=zsfCodeResult id="zsfCodeResult" value="" >
<img align=absmiddle src="<?=$g4[path]?>/zmSpamFree/zmSpamFree.php?zsfimg=<?php echo time();?>" id="zsfImg" alt="看不清楚请点击刷新！" title="点击刷新认证码！" onclick="this.src='<?=$g4[path]?>/zmSpamFree/zmSpamFree.php?re&zsfimg=' + new Date().getTime();" /> 
<input class='ed' type=input size=10 name=wr_key id=wr_key itemname="认证码" required onblur="checkZsfCode(this);">  请输入认证码
<script type="text/javascript" src="<?="$g4[path]/zmSpamFree/zmspamfree.js"?>"></script>
<?}?>

然后在下方 form submit java script部分 添加ajax确认

if (typeof(f.wr_key) != 'undefined') {

if (!checkFrm()) {
return false;
}
}

4.bbs/write_comment_update.php

 

if (!$is_member) {
if ($w=='' || $w=='c') {
include_once("$g4[path]/zmSpamFree/zmSpamFree.php");
if ( !zsfCheck( $_POST['wr_key'], $_GET['bo_table'] ) ) { alert ('认证码输入有误，请重新输入！'); }
}
}

 

ZmspamFree 样式设置

根目录zmSpamFree\zsfCfg.php 32行

认证码类型 //由于缺少编辑好的中文字体 1，2，不能使用
1: '1234 和 5678 哪个数字更大?' 2: '1234 和 5678 哪个数字小?'
3: '83 加 5结果是?' 4: '94 减 3结果是?'
5: '8 乘 9结果是?' 6: '5967' (4位随机数字)
7: 'QJMA' (4位随机字母) 8: '6R2A' (4位数字及字母)
Ex) 如果想让认证码随机显示3【加法】,4【减法】方式: $zsfCfg['codeForm'] = array( 3, 4 );
Ex) 如果只想显示一种4位数字认证码: $zsfCfg['codeForm'] = array( 6 );
*/
$zsfCfg['codeForm'] = array( 3,4,5,6,7,8 ); # 认证码类型
这是默认，就会随机显示3~8认证码类型，也可以只选择一个

 

 

DQ需要在GD库 2.0以上才能运行，首先查看服务器是否支持。
Dq最早是针对Zeroboard开发的第三样图片压缩插件。
Sir.co.kr会员对此进行了修改，移植到了G4程序中。
Gfans.me团队有对此进行了大量的代码改动，优化了很多代码，Cpu占用量也达到了最低水准。但核心代码部分还是DQ拥有版权的。

注意：虽然Gfans.me尽量对代码进行了优化。同时批量处理大量图片还是会有一定负载，虽然只是瞬间暂用，但部分虚拟主机cpu限制过严可能会导致程序运转缓慢。如果属于大量上传图片站点（每日超过1万张图片更新）请进行负载测试！
 

 

 

http://demo.gfans.me

管理员帐户 admin 密码 admin

还剩下10天，准备发布比较大的扩展。

Gblog单用户及多用户博客系统

Gtalk sns微薄系统

如果还有时间就将yj soft开发的

彩票for G4 发布上来，非常好玩的在线彩票程序。

但是昨天噩梦发生了。

百度清空了所有gfans.me的数据。关于此事已经向baidu.com提出书面意见。但尚未回复！

如果G4程序如有问题为何相同使用g4程序dodoauto.net为何正常显示搜索数据？

gfans.me没有对百度做优化或进行seo。

为何百度清空数据？莫非是传言中的推广收入？

如果作弊google收录依然正常？

谷歌退出中国市场后百度作为中国搜索引擎老大，

不注重用户体验而且在搜索结果中混入推广信息的方式本人表示鄙视。

【推广信息混入结果导致多少假药，虚假信息泛滥祸害不知情的网名】

开进口车在马路上

不是不爱国。

买奶粉不选你

不是不爱国产货。

因为你们太让我们伤心，

致命刹车油，三聚氰胺，食品添加福尔马林，敌敌畏、工业酒精，工业盐。

百度。你和其他劣质国产商品一样

爱你不容易！因为你不爱人民，

跟其他劣质产品一样，你爱的永远都是人民的币

发送到百度的内容：

数据库编码设置问题导致的中文乱码

特别是使用海外虚拟主机，没有root权限时。可以修改一下代码

修改好之后安装G4就可以设置成utf8_general_ci编码格式了

或者是安装之前进入phpmyadmin 执行sql

可惜Gfans.me刚刚建立不久没什么人气。，所以也就没什么人申请。

直到昨天才收到第一个会员申请。所以开始制作。还剩下两个名额，需要的尽快申请。

网站：美国留学网 

主要功能：综合论坛 提供当地信息交流平台

预计制作周期7~10个工作日。

图片是效果预览。

设计参考了台湾的无名小站，mobile01等站点。

以绿色与灰色为主色调。网站宽度980像素。

提醒：

Gfans.me不接受任何色情及违反法律网站的制作，此类网站请勿联系！

我们只提供初期的排版设计方案与程序规划方案，具体运营还是要靠自己。

1.自备基础条件 如域名，可以运行G4的虚拟主机或服务器(推荐vps，独立服务器，合租服务器)

2.网站计划书 如板块设计，大致页面布局，功能需求

3.网站运营计划 如：网站目标群体 网站主体内容

4.如果Gfans.me承诺制作，请尽可能保持使用IM通讯软件畅通。(msn,gtalk等)保持与G4root联系，方便沟通。

5.网站制作完成后必须悬挂Gfans.me广告，如美国留学网底部版权信息文件。

  一旦自行删除Gfans.me将不再提供任何技术支援服务及资讯服务。

6.Gfans.me无偿提供网站制作服务，但并不承担网站经营风险及法律纠纷，法律及义务权归网站所属人

7.Gfans.me虽然提供制作服务，但并没有义务负责后期的更新及维护。

  并可根据情况随时调整甚至中断对制作网站的任何形式的帮助，并且不承担因此产生的任何损失。

8.Gfans.me承诺制作的网站中不会留下任何后门及木马程序。对此Gfans.me愿意承担法律责任。

  但不包括G4本身核心程序尚未发现的漏洞。对于G4自身漏洞gfans与Sir官方将在发现漏洞第一时间

  及时提供修补方案及更新程序。