关于tp-admin开发框架上传组件安全问题的修复

tp-admin开发于2016年,并在不断的项目实践中进行完善、扩展。目前虽然不敢说是基于thinkphp最好用的系统开发框架,最起码在开发任意项目中已经游刃有余。尤其是对于日常开发常用的组件均进行了二次封装,大多数功能都是一句话代码即可实现。

关于tp-admin开发框架上传组件安全问题的修复:

1、目前码云上面已经更新过了。如果之前有朋友基于该项目进行了项目开发,仅需要下载:/application/admin/controller/Plugs.php文件进行覆盖即可。

2、如果不方便覆盖的时候,可以复制以下代码加入上述文件中。

  1. //53行追加
  2. if (!session('user')) {
  3.             $this->error('只有登录后才能上传文件哦!');
  4.         }
  5. //60行追加
  6.  if ($file->checkExt('php,sh,bash,exe,bat,cmd,asp')) {
  7.             $this->error('可执行文件禁止上传到本地服务器!');
  8.         }

最终代码位置如下图所示:(新窗口可以看大图)

主要修复未经授权下,可执行文件的上传问题。同时波波也建议“/static/upload”目录权限设置为544。

 

日期:2020年8月8日

波波
你想把广告放到这里吗?

发表评论

您必须 登录 才能发表留言!