问题原因 ：
帝国CMS 8.0 为了防止 CSRF（跨站请求伪造）攻击，对后台的所有数据提交（POST）和敏感操作（GET）都增加了严格的哈希（Hash）验证。

核心机制 ：

- Hash生成 ：系统会根据当前登录的管理员ID、密钥等生成一个唯一的哈希字符串。
- 验证要求 ：所有请求必须携带这个哈希值，否则会被拦截并提示“非法来源”。
修复方法 ：

1. URL 参数 ：在链接中必须包含 $ecms_hashur['href'] 或 $ecms_hashur['whehref'] （带 &h=... 的参数）。
2. 表单 POST ：
   - 在 <form> 的 action 属性中， 不要 自己拼接 ?enews=xxx ，因为这会破坏哈希参数的解析。应该保持 action="do.php<?=$ecms_hashur['whehref']?>" 。
   - 在表单内部使用隐藏域 <input type="hidden" name="enews" value="xxx"> 传递操作类型。
   - 关键点 ：对于某些特定操作，还需要在表单内部输出验证哈希： <?=heformhash_get('操作名', 0)?> 。这会生成一个 <input type="hidden" name="efh" value="..."> 的标签。
3. 代码顺序 ：在 do.php 处理文件中，必须 先获取 $enews （操作类型）， 然后再调用 hCheckEcmsRHash() 验证函数，因为验证逻辑依赖于操作类型。