Merge remote-tracking branch 'origin/master' into inicert

2021-12-21 04:59:20 +00:00
parent 7be96449b8 796b6d9ab1
commit bc8162f7fe
21 changed files with 47 additions and 23 deletions
--- a/bbs/board_head.php
+++ b/bbs/board_head.php
@ -7,7 +7,7 @@ if (G5_IS_MOBILE) {
    include_once(G5_BBS_PATH.'/_head.php');
    echo html_purifier(stripslashes($board['bo_mobile_content_head']));
 } else {
-    if(is_include_path_check($board['bo_include_head'])) {  //파일경로 체크
+    if($board['bo_include_head'] && is_include_path_check($board['bo_include_head'])) {  //파일경로 체크
        @include ($board['bo_include_head']);
    } else {    //파일경로가 올바르지 않으면 기본파일을 가져옴
        include_once(G5_BBS_PATH.'/_head.php');
--- a/bbs/board_tail.php
+++ b/bbs/board_tail.php
@ -8,7 +8,7 @@ if (G5_IS_MOBILE) {
    include_once(G5_BBS_PATH.'/_tail.php');
 } else {
    echo html_purifier(stripslashes($board['bo_content_tail']));
-    if(is_include_path_check($board['bo_include_tail'])) {  //파일경로 체크
+    if($board['bo_include_tail'] && is_include_path_check($board['bo_include_tail'])) {  //파일경로 체크
        @include ($board['bo_include_tail']);
    } else {    //파일경로가 올바르지 않으면 기본파일을 가져옴
        include_once(G5_BBS_PATH.'/_tail.php');
--- a/bbs/qawrite_update.php
+++ b/bbs/qawrite_update.php
@ -217,7 +217,7 @@ for ($i=1; $i<=$upload_count; $i++) {
        $upload[$i]['filesize'] = $filesize;

        // 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
-        $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
+        $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|phar)/i", "$0-x", $filename);

        shuffle($chars_array);
        $shuffle = implode('', $chars_array);
--- a/bbs/write_comment_update.php
+++ b/bbs/write_comment_update.php
@ -324,9 +324,7 @@ else if ($w == 'cu') // 댓글 수정
    if (!$is_admin)
        $sql_ip = " , wr_ip = '{$_SERVER['REMOTE_ADDR']}' ";

-    $sql_secret = "";
-    if ($wr_secret)
-        $sql_secret = " , wr_option = '$wr_secret' ";
+    $sql_secret = " , wr_option = '$wr_secret' ";

    $sql = " update $write_table
                set wr_subject = '$wr_subject',
--- a/bbs/write_update.php
+++ b/bbs/write_update.php
@ -561,7 +561,7 @@ if(isset($_FILES['bf_file']['name']) && is_array($_FILES['bf_file']['name'])) {
            $upload[$i]['filesize'] = $filesize;

            // 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
-            $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
+            $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|phar)/i", "$0-x", $filename);

            shuffle($chars_array);
            $shuffle = implode('', $chars_array);