yuyx 6b38696eec fix(security): 修复邮箱验证绕过漏洞 ...

之前的迁移脚本会在每次服务启动时将所有 is_verified=0 的用户
自动设为已验证，导致攻击者可以用假邮箱注册后等待服务重启绕过验证。

修复方案：仅将 is_verified IS NULL 且 verification_token IS NULL 的
用户设为已验证（这些是邮箱验证功能上线前注册的老用户）。

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

2025-11-27 20:35:01 +08:00

24 KiB

Raw Blame History

View Raw