emlog博客评论BUG,emlog isLogCanComment函数小BUG,MySqli

2015年01月07日 技术资料 2.7 K views 0

今天论坛有人说评论有BUG,我看了一下,无意中注意到isLogCanComment函数。

function isLogCanComment($blogId) {
if (Option::get('iscomment') == 'n') {
return false;
}
$query = $this->db->query("SELECT allow_remark FROM ".DB_PREFIX."blog WHERE gid=$blogId");
$show_remark = $this->db->fetch_array($query);
if ($show_remark['allow_remark'] == 'n' || $show_remark === false) {
return false;
}else {
return true;
}
}


以上是isLogCanComment函数的代码,数据库(连接方式使用mysqli)查询$show_remark的值应该是空值NULL,所以不能用===false。


注意:数据库连接方式使用mysqli就会出现这个问题
影响就是POST伪造gid,可以把评论发布到不存在文章gid下,影响应该不大。


解决方法:

修改emlog目录下include\model\comment_model.php的isLogCanComment函数的代码


if ($show_remark['allow_remark'] == 'n' || $show_remark === false) {
改成


if ($show_remark['allow_remark'] == 'n' || $show_remark == false) {
或者


if ($show_remark['allow_remark'] == 'n' || $show_remark === NULL) {

分享到:
赞🧧赏

发表评论

欢迎交流:

欢迎您朋友:

1、本站无广告推广,免费分享

2、内容错误纠错欢迎反馈站长

3、新版解压密码看我QQ空间,或留言

     纯净共享奉献,站长非24小时在线



By iT猫itcat.cn 宣