最近研究pbootcms發現系統自帶用戶注冊郵箱驗證部分用戶可通過先提交真實郵箱接收到驗證碼后修改郵箱的方法繞過郵箱驗證注冊。測試為v3.1.4版。
說一下修改方案:
找到/apps/home/controller/MemberController.php
將432、433、434行注釋掉,修改為以下代碼(sendEmail()方法中)
//if (! session('sendemail')) {
// json(0, '非法提交發送郵件!');
// }
將460行修改為(sendEmail()方法中)
if ($rs === true) {
session('sendemail', $to);
json(1, '發送成功!');
}
在159行后(alert_back('您輸入的郵箱已被注冊!'); })添加如下代碼
if (session('sendemail')!=$useremail) {
alert_back('非法提交發送郵件!');
}
至此修復,如介意的小伙伴可用以上方法修改。
如無特別說明,文章均為本站原創。轉載請注明出處:http://www.sysbbie.com/phper/180.html
評論列表