平时可能会有删标签的习惯,有网站收录了删掉的标签,访客访问这个链接EMLOG6就会报SQL语句执行错误。

例如标签“测试”不存在,访问这个标签链接http://www.myxzy.com/tag/测试 就会报SQL语句执行错误,会出现以下提示:

SQL语句执行错误: SELECT `gid` FROM `emlog_tag` WHERE `tid` =

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

346-1.png

今天论坛有人说评论有BUG,我看了一下,无意中注意到isLogCanComment函数。

	function isLogCanComment($blogId) {
		if (Option::get('iscomment') == 'n') {
			return false;
		}
		$query = $this->db->query("SELECT allow_remark FROM ".DB_PREFIX."blog WHERE gid=$blogId");
		$show_remark = $this->db->fetch_array($query);
		if ($show_remark['allow_remark'] == 'n' || $show_remark === false) {
			return false;
		}else {
			return true;
		}
	}

新版本emlog5.1.1中有这个bug,不知道大家有没有遇到在后台“seo设置”中设置保存了关键词(keywords),但是切换到“基本设置”中进行了设置保存了,这个时候“seo设置”中的关键词就会清空。这个问题由于configure.php(admin文件夹下)中的残留代码导致的。

代码大概在第50行,代码如下:

	'site_key' => isset($_POST['site_key']) ? addslashes($_POST['site_key']) : '',

因为$getData数组中有上面的残留代码,导致Option::updateOption($key, $val)更新的时候,会更新数据库中site_key的值,而新版中把关键词(keywords)这个设置搬到“seo设置”中去忘了删除这行代码,这个时候site_key由于没有值而输出空白,所以清空了关键词(keywords)。

今天无意中发现sendmail在某种情况下出现爆路径的可能,造成敏感信息的泄露,危害。

首先肯定要安装sendmail插件,然后还要开启评论审核才可以看到这个bug。

本地伪造评论表单以POST的方式提交给远程的URL,这个时候如果开启了评论审核的话,会显示comment_controller.php的相关信息,而这个页面会引入sendmail插件的一些函数,而由于是本地提交,所以$_SERVER['HTTP_REFERER']就获取不到,这个时候就会报错。出现

Notice: Undefined index: HTTP_REFERER in D:\www\content\plugins\kl_sendmail\kl_sendmail.php on line 73

[高危漏洞]emlog使用大曾模版的有跨站脚本攻击漏洞Bug,具体多少模版有这个漏洞还不知道。

今天看到大曾模版的log_list.php中有一句

<?php }elseif($params[1]=='keyword'){ ?>
            关键词 <b><?php echo urldecode($params[2]);?></b> 的搜索结果

这个是直接从用户输入的值输出的,如果用户恶意输入很容易造成跨站脚本攻击。

如果没有修改用户在使用大曾模版的emlog博客中,进行搜索

星之宇 发布于2011-10-8 17:09

[Bug]emlog4.1.0搜索翻页问题

emlog4.1.0官方程序安装完,未作任何改动。
搜索一个关键字,几页的那种,要翻到第2页,结果还是第1页。

解决方法:
经过自己的查找发现include/controller文件夹下search_controller.php中
$pageurl .= BLOG_URL.'?keyword='.urlencode($keyword).'&page';
星之宇 发布于2010-7-1 0:00

星知苑网站日志

这是星知苑网站日志,用于记录星知苑网站的点点滴滴改变。


关于网站的说明:

1、网站使用PHP+MySQL搭建,网站程序主要是emlog,以及二次开发。

2、对于网站占用流量和影响打开速度的资源,做了CDN加速。

(1)静态JS和CSS,除了主站www.myxzy.com,还有yun.myxzy.com

(2)评论头像使用腾讯云加速,使用gravatar.myxzy.com

(3)文章图片使用七牛加速,使用cdn0.myxzy.com,不排除以后使用cdn1.myxzy.com或者更多

提交
订阅