修复了一些存在的bug by dan3577 · Pull Request #7 · linux-do/new-api

dan3577 · 2025-07-03T03:47:49Z

github.go：203-204
原始的 bug 代码会尝试从 Gin 上下文中获取用户 ID，但这将失败，因为：c.GetInt("id")

用户 ID 不会在此端点的 Gin 上下文中自动设置
这可能会返回 0 或在尝试绑定 GitHub 帐户时导致 panic
然后，该函数将尝试更新 ID 为 0 的用户，而该 ID 不存在

user.go：541-561
代码使用了硬编码的魔法字符串来绕过密码验证，这可能被恶意利用。如果用户提交这个特殊字符串作为密码，验证器会认为密码有效，但实际上密码会被设置为空。"$I_LOVE_U"

error.go：53-85
虽然调用了，但如果在此之前发生错误，资源可能泄露。resp.Body.Close()

在该函数中，有一行注释显示了一个严重错误：github.go：203-204GitHubBind 错误在第 204 行，代码从会话中检索用户 ID，但有一个带注释的第 203 行显示了原始（有问题的）实现：github.go：203// id := c.GetInt("id") // critical bug! 问题原始的 bug 代码会尝试从 Gin 上下文中获取用户 ID，但这将失败，因为：c.GetInt("id") 用户 ID 不会在此端点的 Gin 上下文中自动设置这可能会返回 0 或在尝试绑定 GitHub 帐户时导致 panic 然后，该函数将尝试更新 ID 为 0 的用户，而该 ID 不存在

在函数中发现一个严重的安全问题： user.go：541-561UpdateSelf 代码使用了硬编码的魔法字符串来绕过密码验证，这可能被恶意利用。如果用户提交这个特殊字符串作为密码，验证器会认为密码有效，但实际上密码会被设置为空。"$I_LOVE_U"

错误处理中的资源未释放：在多个错误处理函数中，HTTP响应体可能未正确关闭： error.go：53-85 虽然调用了，但如果在此之前发生错误，资源可能泄露。resp.Body.Close()

dan3577 added 3 commits July 3, 2025 11:33

Update error.go

d308b71

错误处理中的资源未释放：在多个错误处理函数中，HTTP响应体可能未正确关闭： error.go：53-85 虽然调用了，但如果在此之前发生错误，资源可能泄露。resp.Body.Close()

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

修复了一些存在的bug#7

修复了一些存在的bug#7
dan3577 wants to merge 3 commits intolinux-do:mainfrom
dan3577:main

dan3577 commented Jul 3, 2025

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant

Conversation

dan3577 commented Jul 3, 2025

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant