XenForo

• XenForo 2.3 Full Released

以下公共模板已发生更改：

• helppage_privacy_policy

• account_reactions

• account_visitor_menu

• attachment_macros

• bb_code_tag_attach

• core.less

• core_action_bar.less

• embed_resolver_thread

• helper_attach_upload

• lightbox.less

• login_password_confirm

• member_about

• member_macros

• XenForo 2.3 Full Released

以下公共模板已发生更改：

• 附件宏

• bb_code_tag_attach

• lightbox_macros

必要时，请使用“过时模板”页面中的合并系统来整合这些更改。

与以往一样，所有拥有有效许可证的客户均可免费下载新版本的 XenForo。

以下是最低系统要求：

• PHP 7.2 或更高版本（推荐使用 PHP 8.3）

• MySQL 5.7 及更高版本（也兼容 MariaDB/Percona 等）

• 所有官方插件都需要 XenForo 2.3。

• 增强搜索功能至少需要 Elasticsearch 7.2 版本。

注意：如果您选择修补文件而不是进行完整升级，“文件健康检查”会将这些文件报告为“包含意外内容”。由于这些文件不再包含您 XF 版本出厂时的内容，因此这是正常现象，可以忽略。与以往一样，所有拥有有效许可证的客户均可免费下载新版本的 XenForo，他们现在可以从客户专区

获取新版本，或通过管理控制面板（工具 > 检查更新...）进行升级。

已发现的问题如下：

• 防止与 BB 代码渲染相关的潜在存储型 XSS（跨站脚本）攻击

• 防止帖子中使用灯箱可能存在的 XSS 漏洞

• 防止通过已认证但恶意管理员用户实施的远程代码执行 (RCE) 漏洞利用

• HuoNiu Credits System

1-3：基础功能修复

1. 提现拒绝功能缺失 — 管理员拒绝提现时无法输入原因，无法发送PM通知用户

2. 信用兑换/分红/红包页面洪水检查误触 — GET请求（首次访问）就触发洪水检查

3. 每日签到小工具不工作 — 模板名称错误、变量不匹配、缺少货币数据、缺少后端方法

4：事件系统

1. 资源购买/出售事件 definition_id 不匹配

2. 最佳答案悬赏事件 definition_id 不匹配

3. 资源购买/出售事件无异常保护 — XFRM 插件未安装时会导致致命错误

4. 投票删除事件未触发 — poll_delete 定义存在但从未被调用

5. 帖子回复扣减重复执行 — 编辑已删除帖子时重复扣除积分

6. 主题浏览事件重复触发 — 控制器中多处调用导致同一次浏览触发两次

5：剩余问题

1. 真实货币购买资源事件失效 — 定义存在但从未触发

2. 转账功能绕过事件系统 — 无论事件是否激活、用户组是否有权限，都能转账

3. 死代码文件存在 — 扩展文件完全未使用

6：后台设置与选项

1. EventContainer 映射错误（严重）— 约16个 definition_id 键名错误，导致交易记录描述全部显示为空

2. 每日限额重复检查+SQL错误（高危）— EventHandler.trigger() 有重复检查逻辑且忽略开关，SQL IN 参数绑定错误

3. 幽灵选项（中等）— 在代码中使用但 options.xml 从未定义，管理员无法配置

4. 提现货币默认值不一致

7：PHP 8 兼容性

1. Trigger 服务类型错误

8：日志优化

1. 未配置事件错误日志泛滥 — daily_login 是可选功能，管理员未配置时每次请求都记录错误

• HuoNiu Credits System

新增功能

1. 资源拒绝与反馈 — 管理员在审批队列中可选择"拒绝并反馈"，向资源作者发送私信说明拒绝原因和修改建议

2. 资源版本拒绝与反馈 — 同上，支持对资源新版本的拒绝操作

3. 拒绝时可选删除资源 — 拒绝时可勾选是否软删除资源，不勾选则保留资源供作者修改后重新提交

4. 拒绝时可选发送私信 — 拒绝时可勾选是否发送包含拒绝原因和修改建议的私信通知

5. 独立拒绝页面 — 在资源详情页提供单独的拒绝表单入口（非审批队列场景）

6. 购买列表权限控制 — 新增 canViewPurchaseList() 权限判断，仅资源作者、管理员、版主可查看购买记录

7. 审批队列拒绝字段动态显示 — 选中"拒绝"单选按钮时自动展开原因和建议输入框，选其他操作时自动隐藏

修复

1. 已过期购买记录不可见 — 移除了 isActive() 过滤器，现在显示所有购买记录并附带 is_active / is_expired 状态标识

2. 拒绝不删除时审批队列条目残留 — 拒绝资源但不删除时，resource_state 保持 'moderated' 不变，不触发实体状态变更钩子，导致队列条目永不移除。修复为显式删除 ApprovalQueue 条目

• HuoNiu Credits System

多货币定价功能（新功能）

• 资源支持同时设置多种货币价格，用户访问时自动展示对应货币

• 新增货币优先级规则：用户手动选择 > 管理员语言包映射 > 默认货币

• 新增管理后台选项：语言包 → 货币映射配置表

• 支付方式将根据货币自动选择付款网关，缺失网关将会自动增加退回机制

• 用户也可手动选择相关支付方式

货币单位将跟随系统语言切换自动显示。具体测试可变更底部语言显示，价格及单位将同步变更。

P1 WARNING 修复（13项）

1. SQL注入修复 + 游标分页

2. 管理员提现控制器添加权限验证

3. 数据迁移控制器添加权限验证

4. 诊断控制器添加权限验证

5. 全额退款方法修复错误列名

6. 退款逻辑覆盖 pending+approved 两种状态

7. 反应内容实体添加空值安全链 ?->

8. 资源付费记录实体添加默认 return false

9. 支付处理器修复不存在的方法调用

10. 红包抢夺加数据库事务+行锁，mt_rand → random_int

11. 货币相关列类型 FLOAT → STR

12. 帖子付费查询子查询改 JOIN + 补 content_type 过滤

13. 数据导入仓库 3处SQL注入修复

P2 WARNING 修复（10项）

1. 统计仓库列名白名单验证

2. 积分转账金额 float → bcmath 精度安全

3. 奖励实体空值检查

4. 红包实体空值检查

5. 交易清理任务 DELETE 加 LIMIT 防超时

6. 转账服务传入正确用户对象而非 null

7. 频率限制检查移入 POST 分支

8. 管理后台清除操作添加 CSRF 验证

9. 收费BB代码静态缓存 + 保存后更新缓存

10. 货币仓库移除读取路径的写操作副作用

• HuoNiu Credits System

• 增加积分购买升级用户组

• 多货币设置升级用户组

• 支付网关货币由固定列表升级为动态下拉，自动按系统可用货币与已启用支付方式联动展示。

• 后台保存校验行为统一，减少因配置顺序不同导致的误判与绕过。

• 兼容现有支付流程与购买逻辑，不改变实际扣费/结算路径，仅强化配置阶段校验与可用性。

• 优化支付货币选择逻辑，支持保留历史已保存值，避免升级后配置项丢失或不可选。

• 修复支付方式勾选变更时的校验时机问题，解决“首次保存报不支持、再次保存又通过”的不一致现象。

• 增强货币兼容校验：仅变更支付方式时也会立即执行货币支持检查，结果更稳定一致。

• 增强循环订阅兼容校验：仅变更支付方式时也会同步检查是否支持 recurring 与周期长度。