禁止非站務帳號用「顯示使用者資料」功能查看原始 ID

原本的版本非帳務帳號雖然不能進入編輯使用者資料的頁面，但因為原始 ID 在檢查
權限之前就已經顯示了，所以任何人都可以利用這個功能的漏洞偷看原始 ID。

1 files changed, 5 insertions, 4 deletions

diff --git a/maple/ulist.c b/maple/ulist.c
index c55fd19..d72ad73 100644
--- a/maple/ulist.c
+++ b/maple/ulist.c
@@ -925,14 +925,15 @@ ulist_edit(xo)			/* Thor: �i�u�W�d�ݤέק�ϥΪ� */
   char* userid=ulist_pool[xo->pos]->userid;
   char* realid=ulist_pool[xo->pos]->realid;
   char buf[80];
-  if(strcmp(userid,realid)){
-    sprintf(buf,"��ID �v���G%s �� %s",realid,userid);
-    vmsg(buf);
-  }
 
   if (!HAS_PERM(PERM_ALLACCT) || acct_load(&acct, ulist_pool[xo->pos]->realid) < 0)
     return XO_NONE;
 
+  if (strcmp(userid, realid)){
+    sprintf(buf, "��ID �v���G%s �� %s", realid, userid);
+    vmsg(buf);
+  }
+
   vs_bar("�ϥΪ̳]�w");
   acct_setup(&acct, 1);
   return ulist_head(xo);