Release Logs

• Invision Community 5.X

• Invision Community 5.X

• Invision Community 5.X

开发者笔记

对 CustomField 扩展进行了多项修复和改进，特别是针对 Pages 扩展。

• 新增方法CustomFieldAbstract::isSearchable()，允许您将自定义字段类型包含在页面和俱乐部筛选器中

• CustomFieldAbstract::filter()页面筛选时新增自定义查询条件的方法

实现开发者中心扫描，查找重复的语言字符串。

• 开发者中心现在可以检测您的应用程序与其他已安装应用程序之间重复的语言字符串。

** 如果您的电子邮件模板或电子邮件包装模板已自定义，则需要将其还原才能启用这些更改。

• Invision Community 5.X

• XenForo 2.3 Full Released

• XenForo 2.3 Full Released

已发现的问题如下：

• 防止与 BB 代码渲染相关的潜在存储型 XSS（跨站脚本）攻击

• 防止帖子中使用灯箱可能存在的 XSS 漏洞

• 防止通过已认证但恶意管理员用户实施的远程代码执行 (RCE) 漏洞利用

注意：如果您选择修补文件而不是进行完整升级，“文件健康检查”会将这些文件报告为“包含意外内容”。由于这些文件不再包含您 XF 版本出厂时的内容，因此这是正常现象，可以忽略。与以往一样，所有拥有有效许可证的客户均可免费下载新版本的 XenForo，他们现在可以从客户专区

获取新版本，或通过管理控制面板（工具 > 检查更新...）进行升级。

• HuoNiu Credits System 积分应用

• HuoNiu Credits System 积分应用

• 修复"积分价格"字段错误出现在 CMS/Pages 数据库记录表单中的问题

• 修复"积分价格"字段错误出现在 日历事件表单中的问题

• 修复"积分价格"字段错误出现在 Nexus 商城商品表单中的问题（Nexus 已有独立定价体系）

• 修复"积分价格"字段错误出现在 私信会话表单中的问题

• 修复"积分价格"字段错误出现在 系统警告/提醒表单中的问题

• HuoNiu Credits System

• HuoNiu Credits System

修复

1. 已过期购买记录不可见 — 移除了 isActive() 过滤器，现在显示所有购买记录并附带 is_active / is_expired 状态标识

2. 拒绝不删除时审批队列条目残留 — 拒绝资源但不删除时，resource_state 保持 'moderated' 不变，不触发实体状态变更钩子，导致队列条目永不移除。修复为显式删除 ApprovalQueue 条目

• HuoNiu Credits System

P1 WARNING 修复（13项）

1. SQL注入修复 + 游标分页

2. 管理员提现控制器添加权限验证

3. 数据迁移控制器添加权限验证

4. 诊断控制器添加权限验证

5. 全额退款方法修复错误列名

6. 退款逻辑覆盖 pending+approved 两种状态

7. 反应内容实体添加空值安全链 ?->

8. 资源付费记录实体添加默认 return false

9. 支付处理器修复不存在的方法调用

10. 红包抢夺加数据库事务+行锁，mt_rand → random_int

11. 货币相关列类型 FLOAT → STR

12. 帖子付费查询子查询改 JOIN + 补 content_type 过滤

13. 数据导入仓库 3处SQL注入修复

P2 WARNING 修复（10项）

1. 统计仓库列名白名单验证

2. 积分转账金额 float → bcmath 精度安全

3. 奖励实体空值检查

4. 红包实体空值检查

5. 交易清理任务 DELETE 加 LIMIT 防超时

6. 转账服务传入正确用户对象而非 null

7. 频率限制检查移入 POST 分支

8. 管理后台清除操作添加 CSRF 验证

9. 收费BB代码静态缓存 + 保存后更新缓存

10. 货币仓库移除读取路径的写操作副作用

• HuoNiu Credits System

• 优化支付货币选择逻辑，支持保留历史已保存值，避免升级后配置项丢失或不可选。

• 修复支付方式勾选变更时的校验时机问题，解决“首次保存报不支持、再次保存又通过”的不一致现象。

• 增强货币兼容校验：仅变更支付方式时也会立即执行货币支持检查，结果更稳定一致。

• 增强循环订阅兼容校验：仅变更支付方式时也会同步检查是否支持 recurring 与周期长度。

• 兼容现有支付流程与购买逻辑，不改变实际扣费/结算路径，仅强化配置阶段校验与可用性。

• IPS-Alipay 支付宝当面付

• IPS-Alipay 支付宝当面付

🔄 **自动切换**：跟随系统设置实时切换

• IPS-Alipay 支付宝当面付

• 修复 SUPPORTS_RECURRING 错误声明（改为 FALSE）

• 修复密钥处理不一致问题

• 修复支付成功状态检查竞态条件

• 修复升级脚本日志调用错误

• 新增 normalizeKey() 方法统一密钥处理

• 添加配置常量（DEFAULT_TIMEOUT_MINUTES、DEFAULT_STORE_ID）

• App ID 格式验证（16-32 位数字）

• 密钥长度验证（最小 100 字符）

• 订单标题长度限制（最大 256 字符）

• 错误提示更具体化

• IPS-Alipay 支付宝当面付

签名内容错误排除"0"值参数
CSS/字体路径改为绝对 URL
回调处理改用 IPS 标准 checkFraudRulesAndCapture()

移除废弃的 openssl_free_key()
私钥存储从4份冗余减为1份
状态接口改为只读
回调处理防重复执行（幂等）
生产环境减少日志输出
新增升级迁移脚本

• IPS-QQ login 登陆应用

• IPS-QQ login 登陆应用

• IPS-QQ login 登陆应用

✅ 改进 OpenID 获取流程（HTTPS优先）

• IPS-QQ login 登陆应用

修复

• 修复 profilesync 场景下因 QQ 非标准返回导致的 BAD_JSON 异常

• 修复 access_token 解析不稳定问题

• 修复 JSONP 包裹结构导致的令牌解析失败

• 修复授权流程异常时直接致命报错的问题

• 修复用户名同步关闭时仍覆盖本地名称的问题

兼容性调整

• 整体对齐 IPS 5 OAuth2 规范与调用流程

• 重写授权码换取令牌流程

• 重写令牌续期流程

• 明确关闭 PKCE（QQ 不支持）

• OpenID 获取优先使用 fmt=json，并保留 JSONP 回退

• 用户资料获取改为双阶段流程（OpenID → 用户信息）

• IPS-HuoNiu Time Sale

• 促销默认折扣百分比从 30% 调整为 10%

• 前台折扣徽章显示优化：从 -20% 升级为 春节大优惠 -20%（填写标题时）

• IPS-HuoNiu Time Sale

• ✅ 支持显示即将开始的促销（pending 状态且开始日期在未来）

• ✅ 新增"即将开始"徽章和提示

• ✅ 智能倒计时：活动促销显示结束时间，即将开始促销显示开始时间

• ✅ 新增语言字符串：timesale_starts 和 timesale_coming_soon

• ✅ 更新所有模板支持即将开始促销的显示

• IPS-HuoNiu Time Sale

1. 改进删除逻辑：删除促销记录时始终恢复文件原价，无论促销状态如何

• HuoNiu Credits System

1. 修复编辑器工具栏付费内容按钮失效的问题 — 解决因加载不存在的 JS 文件导致编辑器按钮无法显示的问题

• XFRM Right Sidebar Pro