> 백엔드 개발 > PHP 튜토리얼 > thinkphp的一个小BUG

thinkphp的一个小BUG

WBOY
풀어 주다: 2016-06-23 14:11:30
원래의
828명이 탐색했습니다.

前两天发现自己网站莫名其妙的多了一下文件
原文地址:http://bbs.csdn.net/topics/390469279

今早观察了一下这些莫名其妙的HTML文件,终于找到问题所在!!!
原因:
如果开启静态缓存,在静态规则中带有参数,例如

//静态缓存	'HTML_CACHE_ON'=>true,	'HTML_CACHE_RULES'=> array(	'infor:search' => array('home/{:module}/{:action}/{key}'),	),
로그인 후 복사


举例说明
{key}=test
Html/home/Infor/search/test.html
{key}=../boot
Html/home/Infor/boot.html
是的第二个静态文件HTML飞到了上级目录,所以服务器目录多了很多文件和文件夹。
这个应该算是thinkphp的一个小BUG,虽然不会对网站照成危害但是很烦人

解决的方法也很简单
就是静态规则不要直接用参数,推荐大家用MD5处理{$_SERVER.REQUEST_URI|md5}

机智的?丝


回复讨论(解决方案)

过来看看,静态缓存用的比较少。

这不是 thinkphp 的 bug
很自然的你要为你自己的行为负责

对于你示例的规则,若 key = ../boot
由 $rule  = preg_replace('/{(\w+)}/e',"\$_GET['\\1']",$rule);
可知,被解释成 home/MODULE_NAME/ACTION_NAME/../boot

TP 有什么理由要阻止你把静态文件放在上级目录中?

这不是 thinkphp 的 bug
很自然的你要为你自己的行为负责

对于你示例的规则,若 key = ../boot
由 $rule  = preg_replace('/{(\w+)}/e',"\$_GET['\\1']",$rule);
可知,被解释成 home/MODULE_NAME/ACTION_NAME/../boot

TP 有什么理由要阻止你把静态文件放在上级目录中?

我觉得TP应该考虑一下{key}参数的过滤。

如果要过滤,也得是你给规则、写代码
至少类似 http://bbs.csdn.net/topics/390469279/..x 这样的url并不能构成攻击
你不能指望人家把什么都替你做了,毕竟他只是个开发工具。
如果是 dede 出现这种现象,才能说是 bug

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿