禁止ホストの時はお絵かきコメントの入力欄を表示しない。IPv4の時にのみ逆引き不可ホストを拒絶。

Author: satopian

petitnote/functions.php

@@ -30,14 +30,14 @@ function aikotoba(): void {
 	check_same_origin();
 
 	session_sta();
-	if(!$aikotoba || $aikotoba!==(string)filter_input_data('POST','aikotoba')){
+	if(!$aikotoba || !hash_equals($aikotoba,(string)filter_input_data('POST','aikotoba'))){
 		if(isset($_SESSION['aikotoba'])){
 			unset($_SESSION['aikotoba']);
 		}
 		if((string)filter_input_data('COOKIE','aikotoba')){
 			setcookie('aikotoba', '', time() - 3600);//クッキーを削除
 		} 
-		error($en?'The secret word is wrong':'合言葉が違います。');
+		error($en?'The secret word is wrong.':'合言葉が違います。');
 	}
 	if($keep_aikotoba_login_status){
 		setcookie("aikotoba",$aikotoba, time()+(86400*30),"","",false,true);//1ヶ月
@@ -253,15 +253,15 @@ function admindel_valid(): bool {
 }
 function userdel_valid(): bool {
 	session_sta();
-	return isset($_SESSION['userdel'])&&($_SESSION['userdel']==='userdel_mode');
+	return isset($_SESSION['userdel'])&& hash_equals($_SESSION['userdel'],'userdel_mode');
 }
 //合言葉の確認
 function aikotoba_valid(): bool {
 	global $keep_aikotoba_login_status,$aikotoba;
 	session_sta();
-	$keep=$keep_aikotoba_login_status ? ($aikotoba && ($aikotoba===(string)filter_input_data('COOKIE','aikotoba'))
+	$keep=$keep_aikotoba_login_status ? ($aikotoba && hash_equals($aikotoba,(string)filter_input_data('COOKIE','aikotoba'))
 	) : false;
-	return ($keep||isset($_SESSION['aikotoba'])&&($_SESSION['aikotoba']==='aikotoba'));
+	return ($keep||isset($_SESSION['aikotoba'])&& hash_equals($_SESSION['aikotoba'],'aikotoba'));
 }
 
 //センシティブコンテンツ
@@ -970,6 +970,11 @@ function check_same_origin(): void {
 function check_badhost(): void {
 	global $en;
 	if(is_badhost()){
+		//禁止ホストの管理者ログインを解除
+		unset($_SESSION['adminpost']);
+		unset($_SESSION['admindel']);
+		//編集･削除モードを解除
+		unset($_SESSION['userdel']);
 		error($en? 'Rejected.' : '拒絶されました。');
 	}
 }
@@ -1183,6 +1188,7 @@ function is_badhost(): bool {
 	$use_badhost_session_cache = $use_badhost_session_cache ?? false;
 
 	session_sta();
+
 	$session_is_badhost = $_SESSION['is_badhost'] ?? false; //SESSIONに保存された値を取得
 	if($use_badhost_session_cache && $session_is_badhost){//禁止ホストフラグがSESSIONに保存されていたら拒絶
 		return true;
@@ -1193,7 +1199,7 @@ function is_badhost(): bool {
 
 	if($host === $userip){//ホスト名がipアドレスになる場合は
 		if($reject_if_no_reverse_dns){
-			if(filter_var($userip, FILTER_VALIDATE_IP,FILTER_FLAG_IPV4)){//IPv4アドレスなら
+			if(!$host || filter_var($userip, FILTER_VALIDATE_IP,FILTER_FLAG_IPV4)){//IPv4アドレスなら
 				$_SESSION['is_badhost'] = true;
 				return true; //リバースDNSがない場合は拒絶
 			}

petitnote/index.php

@@ -1,7 +1,7 @@
 <?php
 //Petit Note (c)さとぴあ @satopian 2021-2025
 //1スレッド1ログファイル形式のスレッド式画像掲示板
-$petit_ver='v1.92.0';
+$petit_ver='v1.92.2';
 $petit_lot='lot.20250614';
 
 $lang = ($http_langs = $_SERVER['HTTP_ACCEPT_LANGUAGE'] ?? '')
@@ -1065,6 +1065,8 @@ function paintcom(): void {
 		}
 	}
 	$aikotoba = $use_aikotoba ? aikotoba_valid() : true;
+	//禁止ホストにはコメント入力欄を表示しない
+	$aikotoba = is_badhost() ? false : $aikotoba;
 
 	$namec=h((string)filter_input_data('COOKIE','namec'));
 	$pwdc=h((string)filter_input_data('COOKIE','pwdc'));
@@ -2052,10 +2054,10 @@ function edit(): void {
 function del(): void {
 	global $en;
 
-	//投稿間隔をチェック
-	check_submission_interval();
 	//禁止ホストをチェック
 	check_badhost();
+	//投稿間隔をチェック
+	check_submission_interval();
 
 	check_csrf_token();
 
@@ -2435,8 +2437,6 @@ function view(): void {
 	$select_app=($count_arr_apps>1);
 	$app_to_use=($count_arr_apps===1) ? $arr_apps[0] : ''; 
 
-	$use_paint = $is_badhost ? false : $use_paint; //禁止ホストの時はペイントアプリを使用しない
-
 	//token
 	$token=get_csrf_token();
 
@@ -2650,8 +2650,6 @@ function res (): void {
 	$select_app=($count_arr_apps>1);
 	$app_to_use=($count_arr_apps===1) ? $arr_apps[0] : ''; 
 
-	$use_paint = $is_badhost ? false : $use_paint; //禁止ホストの時はペイントアプリを使用しない
-
 	//token
 	$token=get_csrf_token();
 

petitnote/template/basic/main.html

@@ -37,7 +37,7 @@ <h1 class="title"><a href="./"><?=h($boardname)?></a></h1>
 	<span>
 	<?php if($userdel || $admindel):?>
 			[<a href="./?mode=logout" rel="nofollow"><?php if($en):?>Exit edit mode<?php else:?>編集モード終了<?php endif;?></a>]
-	<?php elseif($resform):?>
+	<?php elseif(!$is_badhost):?>
 		[<a href="./?mode=userdel" rel="nofollow"><?php if($en):?>Edit<?php else:?>編集<?php endif;?></a>]
 	<?php endif;?>
 <?php endif;?>

petitnote/template/basic/parts/threads_loop.html

@@ -123,7 +123,7 @@ <h3 class="imginfo_wrap">
 			<?php if($aikotoba && !$deny_all_posts && (((!isset($res['not_deleted'])||$res['not_deleted']) && $userdel) || $admindel)):?>
 			<div class="edit_button">
 					<!-- 編集削除のためのボタン -->
-				<?php if($res['check_elapsed_days']&&!$is_badhost||$admindel):?>
+				<?php if($res['check_elapsed_days']||$admindel):?>
 					<form action="./" method="POST" class="aikotoba">
 					<input type="hidden" name="mode" value="before_del">
 					<input type="hidden" name="edit_mode" value="editmode">

petitnote/template/basic/res.html

@@ -48,7 +48,7 @@ <h1 class="title"><a href="./"><?=h($boardname)?></a></h1>
 		<span>
 		<?php if($userdel || $admindel):?>
 			[<a href="./?mode=logout" rel="nofollow"><?php if($en):?>Exit edit mode<?php else:?>編集モード終了<?php endif;?></a>]
-		<?php elseif($resform):?>
+		<?php elseif(!$is_badhost):?>
 			[<a href="./?mode=userdel" rel="nofollow"><?php if($en):?>Edit<?php else:?>編集<?php endif;?></a>]
 		<?php endif;?>
 	<?php endif;?>