Discuz ! X 禁止会员修改注册邮箱

amoy

注意首先记得备份好原始文件。
以下教程也适用于Discuz ! X3.4以下版本。
discuz默认是只要有密码就可以修改邮箱，这样当用户账号被盗之后，黑客可以修改掉用户的注册邮箱，从而实现完全的将被盗用户账号占为己有，非常不安全。
修改文件：
template\default\home\spacecp_profile.htm
查找

1. <input type="text" name="emailnew" id="emailnew" value="$space[email]" class="px" />

复制代码

替换为

1. <input type="text" name="emailnew" id="emailnew" value="$space[email]" disabled />

复制代码

这样修改之后，发现修改邮箱的编辑框就不可用了，无法修改邮箱。但是这样还不够，现在只是从前端禁止了在编辑框内输入邮箱，但是我们完全可以用firebug之类工具修改编辑框的属性 ，把disabled属性去掉，就可以正常编辑了；甚至可以直接伪造数据包发给服务器，服务器端会乖乖给你修改的。
所以如果想彻底防止修改邮箱，还必需修改程序文件，在服务器端也做限制，具体方法：
修改文件：
source\include\spacecp\spacecp_profile.php
查找

1. $emailnew = dhtmlspecialchars($_GET['emailnew']);

复制代码

替换为

1. $emailnew = $_G['member']['email'];

复制代码