ThinkPHP在2018年12月9日发布了一个重要安全更新版本,该版本更新主要涉及一个重要安全更新,由于ThinkPHP框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的漏洞,受影响的ThinkPHP版本包括5.0+和5.1+版本。
由于FastAdmin基于进行开发,因此我们也在第一时间发布了新版本(),同时以往的旧版本已经全部下架,目前只能下载全新的版本。
下面我们提供命令行升级和手动修复两种办法,请你根据你的需求选择你的修复方法,注意在修复前先做好备份!备份!备份!
如果你使用命令行安装FastAdmin或有安装,你可以使用以下命令将ThinkPHP5更新到最新版本即可修复
如果你下载的是完整包且没有安装,那么你需要进行手动更新。你可以参考下面的手动修复方法。
打开,找到方法,
在获取控制器的代码第行后面加上
修复后的代码如下:
https://www.fastadmin.net/download.html#security
安全不仅仅代码安全,同时还涉及到服务器安全等多方面,建议你配置好服务器相关安全配置,做好目录权限控制,以下是我们的安全建议:FastAdmin目录安全配置,请参考:https://forum.fastadmin.net/thread/5707禁用后台admin模块,启用独立的后台登录入口,请参考:https://forum.fastadmin.net/thread/7640新增网站配置时务必绑定目录,同时启用限制只允许FastAdmin的根目录,例如:修改,禁用不安全的函数,配置如
BC链 http://www.chinabic.com/?id=159 转载需授权!
网友评论