- P5 ?& P8 f4 S& l a出现在评论处,小问题。放出来怕笑话呢。。
2 W0 F2 R. s! v( m0 j+ ?' t" b01 }elseif($do == 'view'){
0 S% `! J0 R* ]/ U* O' x02
+ W) k8 I1 ?( D5 e) o03 require_once(dirname(__FILE__)."/global.php");# o- [" q1 y' i1 w5 J" S$ ~
04 require_once(MYMPS_INC."/member.class.php");
|/ Z9 U& j$ d/ x+ M05 require_once(MYMPS_INC."/ip.class.php");
: J7 x4 l+ Z) k4 ~5 ^06 2 R. }3 B0 Z, ~/ s1 Z, B& P
07 if(!empty($part)&&$action == 'write'){
7 F5 i. t( Z2 i% g( k1 v08 if(if_other_site_post()){: s5 o0 f! v5 N
09 $msgs[]="请不要尝试从站外提交数据!";
+ ]. Y) T+ O- F0 L* c; D( g" a* F10 show_msg($msgs);
7 D1 o, ?: A7 F; ^) w! h) ]& i11 exit();
0 U0 U6 C: P) F12 }8 t* a5 y" B( o# `
13 / B2 A O8 ]* v( U
14
, {% c$ p: v m* A8 d+ |0 V' Z15 //mymps_chk_randcode();
: u% S6 Z: N8 p r' s16 7 l4 I' V! F7 Z) V
17 $content = $_POST[content];8 G! i* D0 w& u1 A. e
18 if(empty($content)){write_msg("请填写评论内容!");exit();}
6 ? {( N5 E, O" B R& \# ^19 if(strlen($content)>255){write_msg("请不要填写超过127个汉字!");exit();}
- }5 F+ y# f( R20 $result = verify_badwords_filter($mymps_global[cfg_if_comment_verify],'',$_POST[content]);
+ I B- N! v" ~# D21 $content = textarea_post_change($result[content]);
; W+ M$ }) n' @, {/ Y3 B22 $comment_level = $result[level];5 e/ C7 Y6 N; `+ y
23 $userid = $_GET['userid'];
, |9 w. o `: m6 i" v! g24 8 f. _8 p2 d$ g8 P7 ? I5 U2 b
25 ! G, a5 j/ C0 q# S$ o! G# Z
3 o% `- w, p. L7 [26 $db->query("INSERT INTO `{$db_mymps}".$part."_comment` (".$part."id,content,pubtime,ip,comment_level,userid)VALUES('$id','$content','".time()."','".GetIP()."','$comment_level','".$_POST[userid]."')");
+ Q3 [' l3 h7 G7 [: z27 echo "INSERT INTO `{$db_mymps}".$part."_comment` (".$part."id,content,pubtime,ip,comment_level,userid)VALUES('$id','$content','".time()."','".GetIP()."','$comment_level','".$_POST[userid]."')";//userid和getip都没处理好。出现问题了。
* @; O# Q# F6 p: F8 c4 O" O28 if($comment_level == '1'){' o) D$ S& V+ B+ X4 X
29 write_msg("您的评论提交成功!","?part=".$part."&id=".$id);
. q) T# k; E+ y b30 }
. ]1 c5 r- _) ]+ c5 U31 else{
% b4 A1 r9 b+ _2 c32 write_msg("您提交的留言可能含有违禁词语,审核通过后显示!","?part=".$part."&id=".$id);
( P; E' ]1 F! n+ I33 }% {5 k O( q9 a2 R- a
34 exit();
* J+ @7 Q. e R35 }
) X$ R4 Z2 A7 g0 a结果出现问题了,# B! j! `" D6 F7 d5 _0 |
2 p6 C1 I, T- F6 O& r7 ~! B( c9 ^接下来就是% g: @+ u9 a- m- Q* v, n4 b* h) z
* s( r4 _* i3 ]5 p- W7 ]
直接爆出管理员账号加MD5…0 _( n2 k5 J# F! i
|