當一個高手瀏覽你的網站的時候,你網站的報錯信息將給黑客提供攻擊你網站的信息。例如空操作、空控制器,你會暴露給給駭客你網站後台所使用的框架,駭客會根據框架本省的漏洞對你網站進行攻擊。因此,我們需要對空控制器、空操作進行處理,不給駭客留下任何蛛絲馬跡。
1. 空操作處理
首先看一下效果:
對於我在IndexController.class.php這個檔案裡我並沒有hello這個方法,擔任如果我試圖去存取這個方式時,會報以下資訊:
註:空操作的本質:一個物件(控制器)呼叫本身不存在的方法
對於懂ThinkPHP的開發人員來說,很容易看出此網站後台用的是ThinkPHP框架。那我們要怎麼來屏蔽這些問題呢?這就是我們今天要討論的內容。
解決方式1,在控制器裡加入一個__call($method,$argvs)的方法
這樣,當你再次存取hello方法是就會預設呼叫控制器的__call($method,$args)方法。
但是!當我們有很多個控制器的時候,我還要每個控制器都寫一個__call($method,$args)方法?顯然不合理!因此,我們需要把此方法寫到控制器的父類別裡,只需透過繼承的方式即可。我們走進Controller.class.php卻能找到__call()方法,因為TP已經幫我們做好了,在他的思想裡,是看我們是否在控制器裡定義了一個叫做_empty()的方法。如果定義了,則呼叫這個方法
普通控制器父類別的位置:ThinkPHP/Library/Think/Controller.class.php
##解決方式2給空操作的名稱製作一個同名的模板出來,系統會自動呼叫該模板。 2. 空控制器處理由於沒有BeijingController.class.php這個文件,所以報錯了! ! 經過分析TP框架的源碼,我們有以下解決方案