dz3.4-修复 UC安全

upload/uc_server/model/base.phpupload/uc_server/model/pm.php
UC_KEY泄露后，头像功能有可能被用于上传任意文件

uc_server/model/base.php
查找

1. function input($k) {

复制代码

下边加

1. if($k == 'uid' && !preg_match("/^[0-9]+$/", $this->input[$k])){
   
2.     return NULL;
   
3. }

复制代码

uc_server/model/pm.php

1. if($uid == $value || !$value) {

复制代码

修改为

1. if($uid == $value || !$value || !preg_match("/^[0-9]+$/", $value)) {

复制代码