最近博客常常被人刷评论，最狠的一次被刷了10000多广告。

先看看评论验证码是怎么检查的。

emlog/include/controller/comment_controller.php，先获得$imgcode：

$imgcode = isset($_POST['imgcode']) ? addslashes(trim(strtoupper($_POST['imgcode']))) : ''

检查：

} elseif (ISLOGIN == false && Option::get('comment_code') == 'y' && session_start() && $imgcode != $_SESSION['code']) {

emMsg('评论失败：验证码错误');

}
上述代码，几个判断依次是：

没有登录（非管理员和作者）
后台开启了评论验证码

开启session

将session中的code与$imgcode比较，不相等则验证码错误

第4步明显有问题。熟悉php验证码流程的同学应该清楚，验证码生成的时候将会设置一个session，这里就是code，再和POST过来的也就是用户输入的做比较。

然而如果我们并没有访问验证码生成页面，那么也就没生成session。那么$_SESSION['code']就是NULL。

php中==是弱类型比较，NULL和''（空字符串）比较的结果是TRUE的。

所以这里，我们的$imgcode如果输入一个空值，并且不去访问生成验证码的页面，那么这个$imgcode != $_SESSION['code']就不成立，就不会提示验证码错误，从而绕过了验证码检查逻辑。

所以，我这里做测试。

先正常留言，填写验证码，中途抓包：

将PHPSESSID修改成随意一个值，目的是让其$_SESSION不存在。再将imgcode修改成空：

发送数据包，可见没有提示失败（302跳转了），说明评论成功：

载入一个字典，即可刷评论：

修复方法是判断session是否为空：

empty($_SESSION['code']) || $_SESSION['code'] != $imgcode

不满足这个条件即提示错误。