ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com
标题:
discuz论坛rss泄漏私密日记,怎么修复 home.php?mod=rss&uid= 非公开内容
[打印本页]
作者:
小樱
时间:
2019/12/23 20:29
标题:
discuz论坛rss泄漏私密日记,怎么修复 home.php?mod=rss&uid= 非公开内容
source/module/home/home_rss.php 中只获取了公开日志:
C::t('home_blog')->range(0, $pagenum, 'DESC', 'dateline', 0, null, $uid);
但是数据库文件中把传入的 0 忽略了。
!== null 的写法与其他 table 中参数的判断方法一致。
upload/source/class/table/table_home_blog.php
$wheresql .= $friend ? ' AND '.DB::field('friend', $friend) : '';
复制代码
替换
$wheresql .= ($friend !== null) ? ' AND '.DB::field('friend', $friend) : '';
复制代码
https://gitee.com/ComsenzDiscuz/DiscuzX/pulls/314
waf参数屏蔽某个用户的rss例如
home.php\?mod=rss&uid=1$
复制代码
欢迎光临 ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com (https://bbs.itzmx.com/)
Powered by Discuz! X3.4