该模板为AB模板网VIP资源,加入VIP无限制下载全部模板,本站也承接仿站业务,联系QQ:9490489

联系我们
服务热线
4008-888-888
地址:山东
当前位置: > 产品展示 > 产品四类 >
[求助] Discuz! UC_KEY泄露后,头像功能有可能被用于
浏览: 发布日期:2018-05-23
本帖最后由 1314学习网 于 2017-8-7 11:46 编辑

UC_KEY泄露后,头像功能有可能被用于上传任意文件
uc_server/model/base.php
找到
  1. function input($k) {
复制代码

下边加
  1. if($k == 'uid'){
  2.         if(is_array($this->input[$k])){
  3.                 foreach($this->input[$k] as $value){
  4.                         if(!preg_match("/^[0-9]+$/", $value)){
  5.                                 return NULL;
  6.                         }
  7.                 }
  8.         }elseif(!preg_match("/^[0-9]+$/", $this->input[$k])){
  9.                 return NULL;
  10.         }
  11. }
复制代码

uc_server/model/pm.php
找到
  1. if($uid == $value || !$value) {
复制代码

修改为
  1. if($uid == $value || !$value || !preg_match("/^[0-9]+$/", $value)) {
复制代码



  • 上一篇:厦门市嘉滨小教庆新年暨新队员进队典礼
  • 下一篇:没有了
  • 青岛机械设备有限公司

    联系方式:4008-888-888

    地址:山东

    青岛机械设备有限公司 备案号:鲁IPC:0215503174483310 技术支持:AB模板网