Esta es otra medida recomendable, antes de la version 2.0.17 era una forma comun de hackeo.
Abran el archibo bbcode.php
busquen: $patterns[] = "#\[url
hasta encontar lo siguiente (cuidado puede modificr algun mod):
Cita: // matches a
xxxx://www.phpbb.com code..
$patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];
//
www.phpbb.com code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];
//
phpBB code..
$patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];
//
phpBB code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
remplacen esa parte de codigo por esta:
Cita: $security_threat_chars = ' \t\r\n\'\"\`\[\]\<\>\\\\';
$text = preg_replace('$\[url=?.*?(http://|ftp://)?(www[.])?([a-zA-Z0-9-.]+)([^'.$security_threat_chars.']*).*?\[\/url\]$i','<a href="http://\\1\\2\\3\\4" title="http://\\1\\2\\3\\4" target="_blank" class="postlink">\\3...</a>',$text);
$text = preg_replace('$"http://(http://|ftp://)$i','"\\1',$text); // Replace a double "http://http://" to -> "http://"
Este codigo no solo te proteje sino que tambien te mejora el posting de urls
• las urls muy largas no te alargan el post
• "www." no se muestra mas (segun entiendo esta es una buena medida de seguridad, lo que no se es por qué)