文章作者：Slyar 文章来源：Slyar Home (www.slyar.com) 转载请注明，谢谢合作。

今天一搞安全的哥们给我发来一条URL链接，是一个txt文件。我心说txt文件应该不会有啥问题吧，于是乎我就点了，结果也确实没啥问题，因为俺用的是Firefox浏览器，不过那个txt文件的内容却让我产生了一丝疑问...

我照着那个txt文件的格式重点自己写了一段代码:

<script></script>
<iframe src=http://www.slyar.com width=350 height=200 border=0></iframe>

将其命名为lovejoan.txt上传到自己的空间，然后用IE打开，结果...

乖乖，IE真的把这个txt文件当成html来解析了，这么说来即便是txt文件也可以挂马了？！如果把iframe的大小改成0，谁会去注意一个txt文档是不是危险啊...

后来发现问题所在，只要txt文档里含有"<script>"，IE就会将其当做html文件来解释执行...垃圾IE，还好我用Firefox...

文章作者：Slyar 文章来源：Slyar Home (www.slyar.com) 转载请注明，谢谢合作。

唔，这个问题我发现好久了，当时以为只是我自己的问题，就没管，可是今天在别人的电脑上也出现这个问题，我就不得不怀疑这是一个BUG了。

问题出现在使用FireFox3在论坛发帖的时候。如图，Discuz提供两种编辑模式："Discuz!代码模式"和"所见即所得模式"

我们先在"所见即所得模式"编辑一句话，光标还在；这时选择"Discuz!代码模式"；然后再次选择"所见即所得模式"，此时就会发现光标丢失，无法编辑文章了。去掉所有的插件也还是存在问题，证明不是插件问题，FireFox2无此问题。

大家自己试下。

PS.刚才找午夜测试了一下，也有同样问题。

文章作者：Slyar 文章来源：Slyar Home (www.slyar.com) 转载请注明，谢谢合作。

无意中发现的，原来百度也会犯这种小错误啊。

居然允许列目录。。。

文章作者：Slyar 文章来源：Slyar Home (www.slyar.com) 转载请注明，谢谢合作。

哎，刚拿上WordPress玩的时候就发现wp-settings.php能暴物理路径，当时觉得是个很严重的问题，于是赶紧用"@"把错误信息给屏蔽了，可是最近发现WordPress好像特别喜欢暴路径，看几个图先。。。

都是"Fatal error: Call to undefined function"

看到了？很多文件都可以轻松地把路径暴出来，Linux主机还好点，至少现在那些脚本小子和工具小子还停留在WIN水平，打不到我们这，可是这个WIN主机。。。当然了，WordPress还不至于这么脆弱，可是难保空间里没有其他有漏洞的东西呀。。。

防范方法也简单，当然这个不是"@"能解决的了，只要在能暴路径的文件头部加入访问验证代码就OK了！

访问验证代码如下：

<?php
if(!defined('WP_USE_THEMES'))
{
exit('Access Denied By Slyar.com');
}
?>