织梦会员注册漏洞修复方法 - 全民博客平台

恶意注册，不存在的邮箱，真会玩，有意思，非常的有意思，作为一个资深的站长，看到会员暴增确实是好事，但是，能不能不要投机取巧，作为一个有能力的程序员，是绝对不允许这种事情继续发生的。

《织梦程序防止会员恶意注册的方法》上线之前，做过测评，对系统进行测试和防护，防止恶意会员注册。但是，根本想不到，有些人，居然这么会玩，把漏洞玩出了新高度。

漏洞复现

验证时的邮箱：AAA@qq.com 正确的邮箱，用来获取邮箱验证码。
注册时的邮箱：BBB@baidu.com 错误的邮箱，获取到验证码以后，再次修改注册时的邮箱。
注册好的邮箱：BBB@baidu.com 这是个漏洞，缺少数据效验，让不存在的邮箱能有机可乘。
这水平，这技术，平台的漏洞，一点毛病都没有，我真的是涨知识了，注册会员还能这么玩，又被恶意注册上了一课。这家伙，绝哔是个技术仔，很优秀，是人才，能成大事，以后多去别的平台发扬光大。

我的平台，注册机制是邮箱验证。但是，就有那么些人，投机倒把的搞事情，发送验证码的邮箱，是AAA@qq.com后缀的，等获取验证码以后，邮箱改为BBB@baidu.com后缀的，改完以后就开始点击注册。像@baidu.com邮箱后缀，这种自定义的邮箱后缀，我当真是见都没见过的呢。

一律封号

你皮个啥，拿我网站来练手，封号已经算是仁慈了。对于以上无效的邮箱后缀，现在已经全面封号处理了，不要抱怨，大家都相互理解一下。如果，我不会技术，如果，我不懂修复，那么，这个漏洞将一直持续下去。但作为一个会技术、会修改、懂代码、会修复的技术仔，这种事情绝不允许再有。

个人隐私

之前，随意注册，不需要任何验证的，但是，那样的话，沉淀的会员太多了，我的网站，不需要这种无使用的账号，所以，我就给网站加了一个注册时邮箱验证。不需要手机号，不需要绑定身份证，也不需要绑定银行卡，更不需要注册后上传身份证正反面。邮箱不算隐私，我又不做推广，我也不做宣传，更不会私聊你，像这种套路个人信息的事情，我是不做的。

漏洞修复

我的网站，用的是织梦，既然发现漏洞，那就马上修复漏洞。这种人才，我拒绝TA使用我的网站，如果站长不会修复，真的会被人嘲笑一辈子，还有可能被拿来当反面教程。

开始教程

①、打开 /include/common.func.php 搜索

ResetVdValue()

在这个方法下面加，是整个方法下面哦，不是这个方法里面。

②、打开 /member/reg_new.php 搜索

//会员的默认金币

敲个回车，在它上面加

完成，在验证完成后，再对会员数据进行一次效验。简简单单的两步，就能完美的修复，这个会员注册漏洞。完美的嘲讽下那人，作为精通织梦的十级玩家，你还在拿我的网站来练手，那你算是找错练手对象了。