Closed qhxb closed 5 years ago
APPLICATION,$ params ['user_id']可以被用户控制,存在变量覆盖问题。 利用修改头像接口 1,添加参数application = app跟参数user_id,导致$ params ['user_id']用户id变成用户指定id 2 ,进入UserLoginRecord方法,这里好像没啥问题 3,进入UserAvatarUpload方法,这里完成图片上传后又调用了UserLoginRecord方法 4,再进入UserLoginRecord方法。因为这次调用没有指定$ IS_APP,默认为假 这就导致了最终结果变成当前会话存储的用户变成用户指定的任意用户ID,并且这个ID是一个可以猜测的简单数字 5,最终效果
非常感谢你的反馈,1.6已经修复了该问题,请在1.6上验证一下
1.6部署成功,但是点首页报错
1.6部署成功,但是点首页报错
application/tags.php 用1.5这个文件替换一下、开发版本里面有不存在的狗子 https://gitee.com/gongfuxiang/shopxo/blob/master/application/tags.php
v1.6.0修复了,没这个问题了
APPLICATION、$params['user_id']可以被用户控制,存在变量覆盖问题。 利用修改头像接口 1、添加参数application=app跟参数user_id,导致$params['user_id']用户id变成用户指定id 2、进入UserLoginRecord方法,这里好像没啥问题 3、进入UserAvatarUpload方法,这里完成图片上传后又调用了UserLoginRecord方法 4、再进入UserLoginRecord方法。因为这次调用没有指定$is_app,默认为false 这就导致了最终结果变成当前session存储的用户变成用户指定的任意用户id,并且这个id是一个可以猜测的简单数字 5、最终效果