tp-admin开发于2016年,并在不断的项目实践中进行完善、扩展。目前虽然不敢说是基于thinkphp最好用的系统开发框架,最起码在开发任意项目中已经游刃有余。尤其是对于日常开发常用的组件均进行了二次封装,大多数功能都是一句话代码即可实现。
关于tp-admin开发框架上传组件安全问题的修复:
1、目前码云上面已经更新过了。如果之前有朋友基于该项目进行了项目开发,仅需要下载:/application/admin/controller/Plugs.php文件进行覆盖即可。
2、如果不方便覆盖的时候,可以复制以下代码加入上述文件中。
- //53行追加
- if (!session('user')) {
- $this->error('只有登录后才能上传文件哦!');
- }
- //60行追加
- if ($file->checkExt('php,sh,bash,exe,bat,cmd,asp')) {
- $this->error('可执行文件禁止上传到本地服务器!');
- }
最终代码位置如下图所示:(新窗口可以看大图)
主要修复未经授权下,可执行文件的上传问题。同时波波也建议“/static/upload”目录权限设置为544。
日期:2020年8月8日
