时间:2021-07-01 10:21:17 帮助过:4人阅读
//静态缓存 'HTML_CACHE_ON'=>true, 'HTML_CACHE_RULES'=> array( 'infor:search' => array('home/{:module}/{:action}/{key}'), ),
过来看看,静态缓存用的比较少。
这不是 thinkphp 的 bug
很自然的你要为你自己的行为负责
对于你示例的规则,若 key = ../boot
由 $rule = preg_replace('/{(\w+)}/e',"\$_GET['\\1']",$rule);
可知,被解释成 home/MODULE_NAME/ACTION_NAME/../boot
TP 有什么理由要阻止你把静态文件放在上级目录中?
这不是 thinkphp 的 bug
很自然的你要为你自己的行为负责
对于你示例的规则,若 key = ../boot
由 $rule = preg_replace('/{(\w+)}/e',"\$_GET['\\1']",$rule);
可知,被解释成 home/MODULE_NAME/ACTION_NAME/../boot
TP 有什么理由要阻止你把静态文件放在上级目录中?
我觉得TP应该考虑一下{key}参数的过滤。
如果要过滤,也得是你给规则、写代码
至少类似 http://bbs.csdn.net/topics/390469279/..x 这样的url并不能构成攻击
你不能指望人家把什么都替你做了,毕竟他只是个开发工具。
如果是 dede 出现这种现象,才能说是 bug