重大bug:验证码校验逻辑可导致登录别人账号

文件 extend/base/sms.php下函数,对验证码缓存并没有加上手机号。

如果通过手机A获取验证码,更换成手机B后,校验依然成功。

建议验证码缓存带上手机号:手机号+code

    private function KindofSession($code)

    {

        $data = array(

            'code' => $code,

            'time' => time(),

        );

        cache($this->key_code, $data, $this->expire_time);

    }

请先 登录 后评论

2 个回答

admin
擅长:ShopXO,PHP,服务器,前端

经过排查发现确实有这个问题,之前是使用 session 记录的,改成缓存后服务层没更改。

1.9分之已修复,非常感谢你的反馈

请先 登录 后评论
冷雨

大佬,有没有修复教程


请先 登录 后评论
  • 2 关注
  • 0 收藏,221 浏览
  • zven 提出于 2020-03-10 16:24

相似问题