收费附件及主题通过附件链接可直接下载，判断是否购买无效，解决方案待官方验证

已解决，望删除

$_G['uid'] 和 $_G['member'][uid] 是完全一样的
附件下载在两年前是出现过越权下载的BUG，但早修复了

民审大大 发表于 2017-2-23 00:46
$_G['uid'] 和 $_G['member'] 是完全一样的
附件下载在两年前是出现过越权下载的BUG，但早修复了

我不太清楚您指的两年前越权下载的bug是哪个问题，我说的这个问题大大这边请：


两个帖子是两个新装的discuz x3.2，我用admin发布的带收费附件的帖子，A未修改代码，B是安装上述方法改为$_G['member'][uid]后的程序。

直接可以用游客测试点击两个帖子2楼3楼跟贴里的链接，链接分别是2楼会员和3楼会员购买附件所得链接。也可以用测试账户：test、密码：test123 登录测试，B能够成功提示并跳转，A会直接下载。不是点1楼的附件购买，测试的就是不购买的场景。
（A\B都是同样的环境，同样的设置，我基本就没有设置）

$_G['uid']的值在145行处到底get到的是啥，改下那个位置的代码让其显示就能看到，我测试的结果就是点击2楼的链接显示的是2楼会员的id，点击3楼的链接显示的3楼会员的id。

问题是会员为什么会将＂购买附件所得链接＂发出来？

这不是bug

若会员将＂购买附件所得附件＂上传呢？

先花费 后免费分享

别杞人忧天

allthebest 发表于 2017-2-24 08:16
问题是会员为什么会将＂购买附件所得链接＂发出来？

这不是bug

直接发链接成本很低，也许这种情形很少。但只从代码的严谨来说，若是那段代码根本不会起作用，那是不是可以调整，或者直接删除，我相信既然一开始写这个判断是否购买的代码是有考虑到这种情况的。

ksyst3 发表于 2017-2-24 02:54
直接发链接成本很低，也许这种情形很少。但只从代码的严谨来说，若是那段代码根本不会起作用，那是不是可 ...

国内…人民自身利益行先，＂先花费 后免费分享＂可忽略不计。不要为三、两人行为修改模版

若会员将＂刚购买附件免费＂上传呢？你又如何处理？

别杞人忧天