最近研究pbootcms发现系统自带用户注册邮箱验证部分用户可通过先提交真实邮箱接收到验证码后修改邮箱的方法绕过邮箱验证注册。测试为v3.1.4版。
说一下修改方案:
找到/apps/home/controller/MemberController.php
将432、433、434行注释掉,修改为以下代码(sendEmail()方法中)
//if (! session('sendemail')) {
// json(0, '非法提交发送邮件!');
// }
将460行修改为(sendEmail()方法中)
if ($rs === true) {
session('sendemail', $to);
json(1, '发送成功!');
}
在159行后(alert_back('您输入的邮箱已被注册!'); })添加如下代码
if (session('sendemail')!=$useremail) {
alert_back('非法提交发送邮件!');
}
至此修复,如介意的小伙伴可用以上方法修改。
如无特别说明,文章均为本站原创。转载请注明出处:http://www.pddo.cn/phper/180.html
评论列表