论坛被注入方面漏洞，可能和头像上传有关

每次我看到有人喊被盗号，都是这里有人注册新号，头像是显示不出来的。

简单推断是有人利用头像上传这个模块过滤不够严格搞的注入攻击。

我头像怎么自己变了？@C

禁用自动分配头像插件，删除用户的更新头像功能。

还可以这样玩？？？