emlog 评论验证码修复

　　emlog评论验证码代码年久失修了，可以无视验证码评论。

验证码绕过漏洞原理：

　　1、利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑

　　2、正常留言输入验证码进行BurpSuite抓包

　　3、将PHPSESSID修改成随意一个值，目的是让其$_SESSION不存在，再将imgcode修改成空。

　　4、发送数据包，可见没有提示失败（302跳转了），说明评论成功。

　　5、载入一个字典，即可刷评论。

　　6、可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸

处理方案一

　　1.开启session并且将是否为空的行为进行判断

　　2.违规词拦截

　　3.添加第三方滑块验证

修复方案二：

修改emlog验证码机制

管理员已设置登录后刷新可查看