当前位置:首页 > 包含标签 bug 的所有文章

平时可能会有删标签的习惯,有网站收录了删掉的标签,访客访问这个链接EMLOG6就会报SQL语句执行错误。

例如标签“测试”不存在,访问这个标签链接http://www.myxzy.com/tag/测试 就会报SQL语句执行错误,会出现以下提示:

SQL语句执行错误: SELECT `gid` FROM `emlog_tag` WHERE `tid` =

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

今天论坛有人说评论有BUG,我看了一下,无意中注意到isLogCanComment函数。

function isLogCanComment($blogId) { if (Option::get('iscomment') == 'n') { return false; } $query = $this->db->query("SELECT allow_remark FROM ".DB_PREFIX."blog WHERE gid=$blogId"); $show_remark = $this->db->fetch_array($query); if ($show_remark['allow_remark'] == 'n' || $show_remark === false) { return false; }else { return true; } }

新版本emlog5.1.1中有这个bug,不知道大家有没有遇到在后台“seo设置”中设置保存了关键词(keywords),但是切换到“基本设置”中进行了设置保存了,这个时候“seo设置”中的关键词就会清空。这个问题由于configure.php(admin文件夹下)中的残留代码导致的。

代码大概在第50行,代码如下:

'site_key' => isset($_POST['site_key']) ? addslashes($_POST['site_key']) : '',

因为$getData数组中有上面的残留代码,导致Option::updateOption($key, $val)更新的时候,会更新数据库中site_key的值,而新版中把关键词(keywords)这个设置搬到“seo设置”中去忘了删除这行代码,这个时候site_key由于没有值而输出空白,所以清空了关键词(keywords)。

今天无意中发现sendmail在某种情况下出现爆路径的可能,造成敏感信息的泄露,低危害。

首先肯定要安装sendmail插件,然后还要开启评论审核才可以看到这个bug。

本地伪造评论表单以POST的方式提交给远程的URL,这个时候如果开启了评论审核的话,会显示comment_controller.php的相关信息,而这个页面会引入sendmail插件的一些函数,而由于是本地提交,所以$_SERVER['HTTP_REFERER']就获取不到,这个时候就会报错。出现

Notice: Undefined index: HTTP_REFERER in D:\www\content\plugins\kl_sendmail\kl_sendmail.php on line 73

[高危漏洞]emlog使用大曾模版的有跨站脚本攻击漏洞Bug,具体多少模版有这个漏洞还不知道。

今天看到大曾模版的log_list.php中有一句

<?php }elseif($params[1]=='keyword'){ ?> 关键词 <b><?php echo urldecode($params[2]);?></b> 的搜索结果

这个是直接从用户输入的值输出的,如果用户恶意输入很容易造成跨站脚本攻击。

如果没有修改用户在使用大曾模版的emlog博客中,进行搜索

这是星知苑网站日志,用于记录星知苑网站的点点滴滴改变。


关于网站的说明:

1、网站使用PHP+MySQL搭建,网站程序自主开发(由于以前使用emlog程序,大部分设置也只能沿用)。

2、对于网站占用流量和影响打开速度的资源,做了CDN加速。

3、下载链接自建云盘,速度上有保证还有资源不会被封,关于以前文章中的百度云资源会慢慢迁移到自建云盘。


by 2021-1-27

1、优化全站代码,PHP版本更新到8.0

2、优化数据库

3、修复Bug

4、下载资源优化

5、去除百度云加速(主要是不稳定)


by 2020-12-27

1、重写全站代码

2、优化设置


by 2020-2-22

1、全站SSL,开启HTTPS访问

2、memcached缓存改为Redis缓存,并优化整站缓存。


by 2019-10-23

1、由于评论链接很多都是不良信息网站,所以今后不在显示链接了。

2、部分内容调准,去除了不常用的功能


by 2019-9-16

1、更换服务器到天翼云

2、开启memcached缓存

3、更改文章二维码的生成方式


by 2019-4-5

1、更新模板添加下载列表

2、修复上次重写tag model产生的Bug


by 2019-3-3

1、重写Tag model并分离表格

2、修改图片加速图床

3、cache缓存修改

4、更新归档缓存

5、后台模板重写,插件也跟着模板优化


by 2018-11-27

1、修复不存在的标签导致爆出数据库错误

2、修复页面保存新建问题


by 2018-10-10

1、跟新Tag标签缓存方式

2、更新后台样式

3、更改前台搜索列表新窗口打开

4、去除无意义的转义函数


by 2018-9-14

1、修改自适应图片样式