距上次《sablog 2.0更新记录》又过去了几天，嵌套回复评论功能我自己在本地玩了个不亦乐乎，互动性比以前强多了。还有邮件通知。不过最有成就感的就是终于将swfupload给摸透了。把SwfUpload给整合进来了。而本篇文章的附件正是用SwfUpload来上传的第一个附件。

这个多文件选择上传实在太方便了。不过之前是发布文章的时候同时上传附件，而现在是发布文章之前先要把附件上传了。所以目前还差后台的附件管理功能需要加强，因为这样很可能会产生冗余附件。所以要尽可能的处理好。同时还想支持附件归附功能，也就是多篇文章共用附件。还在构思中。至于老的传统方式。是否还保留呢。兼容性是高了。不过我写得也郁闷。两种上传方式并存。会不会在上传过程中产生干扰还没有深入测试。

至于一直计划中的重头戏自定义链接格式，实在是头疼啊。当了这么多年程序员，正则表达式一直是我的软肋。看着头疼。不过用户当然用得爽啊。我一直想借鉴Wordpress的原理机制。可是无奈。看着头疼。再说开发博客又不赚钱。纯粹是为了那蛋疼的一丝成就感。如果有懂的朋友可以来指点我一下。不然我还真的没心情弄这个功能啊。如果没有心思和时间弄这个。那我就要找个时间把我用过的几个模板都弄一下。检查代码就要发布了。。

仅仅自己记录。还未发布。预计过年期间发布。

最近改进:

1. 编辑器更新至KindEditor 4.0.3
2. jquery更新至1.7.1
3. 增加评论嵌套功能，直接使用回复嵌套替代引用功能。并增加邮件通知功能。
4. 修复若干BUG。
5. 优化默认模板。未发布前其他模板失效。
   

待改进的功能

1. 多附件选择上传功能（也许会采用swfupload）。
2. 是否去掉WAP？
   
3. 征集中。。。

由于个人独立博客渐渐不受重视。国产博客大多数已经被Wordpress取代。所以sablog-x也许不会再有大规模的更新。只为了对老用户们的一贯支持。所以我会继续完善sablog-x，直到只有我一个人用为止。

按回忆记述吧，phpspy从2006到2008，其中还有一个未公开的2007，不过2007已经不存在了。我就是从2007改过来的，已经没有2007的文件了。

1. 加强cookie功能，以确保能百分百登陆。
2. 改成全英文版并根据数据库的编码设置声明相应的页面编码，以确保各编码服务器能正常输出。
3. 加强文件管理功能，增加批量删除文件。增加新的文件属性显示方式和宿主。增加目录改名。增加查看网站根目录和当前目录下的所有可写子目录。在WIN主机下自动探测所有分区以及分区类型。
4. 增加通过MYSQL方式上传下载文件，其中下载文件不需要数据库用户具有FILE权限。即可完整下载。程序自动判断两种方式下载。上传需要具有FILE权限。
5. 加强MYSQL数据库管理功能，增加查询回显并带分页显示，增加插入、修改、删除记录。增加查看表结构和常用信息、删除表功能。并支持多句同时运行。
6. 增加执行PHP代码功能，并附加一些有用的PHP代码。例如Serv-U本地提权利用代码，适用于6.4以及一下版本。
7. 增强执行命令功能。
8. 简化一些PHP环境变量显示。
9. 大大提高各个操作的效率，尤其是文件管理。加快多文件目录的输出速度。
10. 基本全部改为POST方式提交数据和跳转。大大的增加了隐蔽性。防止管理员查看日志找出端倪。
11. 增加linux主机端口反弹功能。使用PERL和C 双重实现。
12. ……

更多更新请关注本博客和www.4ngel.net

首先感谢MasKEdMaN（http://maskedman.cn）的细心。发现这个BUG。本着对用户负责的态度。公开这个漏洞。

受影响的版本：sablog-x 1.5 20070504之前的所有版本
危险等级：中，局部影响
测试方法：http://www.sablog.net/blog/?action=show&id=238"><iframe%20src=http://www.sablog.net%20width=100%20height=100></iframe
漏洞描述：由于模板文件show.php（1.5版本之前的是show.htm）有两处地方变量使用错误。导致存在跨站漏洞。
解决方法：1.5的程序包已经更新，版本是20070504。修正这个漏洞的同时，并修复以下BUG。

20070501版本出现的问题：
1、时间在某些主机上还是显示不正常（比如4月30号的文章显示到5月1日）——已解决
2、浏览切换的BUG（[url]http://www.sablog.net/bbs/viewthread.php?tid=905[/url]）——已解决
3、某些主机上附件上传失败——已解决并加入一个目录权限检查修正工具
4、某些主机不支持rewrite产生的BUG——已解决、加入是否支持rewrite的检查，如果不支持既使后台打开也不启用
5、美国主机日历连接和显示有错误的BUG——已解决
6、更新归档缓存把隐藏的文章计算进去的BUG——已解决
7、单篇文章显示评论数如果设置为0就不显示评论的BUG——已解决，设置为0应该是显示全部评论不分页才对

请大家下载程序包，上传所有的模板文件、PHP文件。
下载地址: 电信 网通

1.5 20070504之前的版本修补此漏洞的手工方法

打开模板文件show.(htm/php)

搜索

<a href="./?action=show&id=$id&goto=previous">上一篇

修改为

<a href="./?action=show&id=$article[articleid]&goto=previous">上一篇

搜索

<a href="./?action=show&id=$id&goto=next">下一篇

修改为

<a href="./?action=show&id=$article[articleid]&goto=next">下一篇

即可

记录一下。

1. 语言包
2. 用户组（既把前后台合并分组）
3. 更详细的权限划分
4. 附件前台管理（可以在前台分类查看、所有附件的详细信息，可不用写文章传附件。待定）
5. 评论回复
6. 待定……

时间未定……