### 简要描述:
一个没有权限控制的类,正好又有注入~
(给L.N.添堵系列之三)
另外厂商分给高点呗,别这么小气~本来不想挖了的。
### 详细说明:
/App/Lib/Mobile/LogMobile.class.php
这个类没有权限验证(_initialize方法)哦~
看到edit函数:
```
//修改沟通日志
public function edit(){
if($this->isPost()){
$id = isset($_POST['id']) ? intval($_POST['id']) : 0;
$params = json_decode($_POST['params'],true);
if(!is_array($params)){
$this->ajaxReturn('非法的数据格式!','非法的数据格式!',2);
}
if(!$id){
$this->ajaxReturn('参数错误','参数错误',2);
}
$log = M('Log');
$log -> create($params);
$log -> update_date = time();
$result = $log->save();
if($result){
$this->ajaxR