Discuzx2.0的最新漏洞分析

　　当我们输入上面的恶意数据，经过preg_replace函数转换后，会将双引号表示字符串的实际意义进行转义，而将其作为字符串的一部分进行输出，从而造成XSS攻击，如下图:

　　因此我们需要将preg_replace转换后的变量进行转化，将转义字符’’进行过滤.

　　安全建议:

　　1 手动安装官方最新的补丁

　　2 该攻击对加入Nevel系统防护的网站，攻击被有效拦截，下面是利用攻击代码的效果图，如下: