discuz论坛rss泄漏私密日记,怎么修复 home.php?mod=rss&uid= 非公开内容
source/module/home/home_rss.php 中只获取了公开日志:C::t('home_blog')->range(0, $pagenum, 'DESC', 'dateline', 0, null, $uid);
但是数据库文件中把传入的 0 忽略了。
!== null 的写法与其他 table 中参数的判断方法一致。
upload/source/class/table/table_home_blog.php
$wheresql .= $friend ? ' AND '.DB::field('friend', $friend) : '';
替换
$wheresql .= ($friend !== null) ? ' AND '.DB::field('friend', $friend) : '';
https://gitee.com/ComsenzDiscuz/DiscuzX/pulls/314
waf参数屏蔽某个用户的rss例如
home.php\?mod=rss&uid=1$
页:
[1]