本文目录一览:
thinkphp 3.1.3 怎么更新漏洞补丁
[ ThinkPHP SQL注入安全漏洞补丁 ]
该补丁修正框架中一处可能导致SQL注入的地方,在开发者没有合理使用I函数进行过滤的情况下可能导致SQL注入,请及时更新。
20141219更新:改进数据库过滤机制
20141213更新:添加全局安全过滤机制
推荐使用I函数进行请求变量获取,如果没有使用I函数的话,需要在项目或者模块中配置开启REQUEST_VARS_FILTER参数,如下所示:
'REQUEST_VARS_FILTER'=true
复制代码
影响到的版本涵盖TP2.1以上版本,请对应相关版本及时更新核心框架。
更新方法:
根据你的版本下载带安全补丁的版本(更新functions.php、Db.class.php和App.class.php三个文件即可),如果你修改了核心框架,或者使用了更旧的版本,可以参考Github相应版本(对应Github不同的分支)的更新记录进行手动更新。
如果你使用的是最新的3.2.3版本,无需单独更新漏洞补丁。
php如何打漏洞补丁?
首先那些检测漏洞的网站也别太当真,很多都是胡扯,我还遇到过开放80端口也算是高危漏洞的检测咧,按他们说的只有拔掉服务器电源才是最安全的。
另外如果真的有漏洞,那也是程序代码上的漏洞,一般不可能是php版本的漏洞,从来没听过有什么漏洞通过升级php版本就能解决的。
你是不是那这个漏洞当成了windows漏洞一样,打个补丁升个级就修复了,就算是打补丁升级,也是升级你的代码。
怎么给php打补丁
通常我们开发出一个系统,是肯定要经常升级的。升级就意味着对代码或者数据结构的修改,当然一般情况下一个系统开发出来应该尽量少的修改数据结构的。
那么,当别人当前使用的不是最新的版本,我们应该如何提供更新补丁供用户升级呢?
第一,毫无疑问,每次放出一个版本的下载,都应该有一个对应的版本号以供区分。这样如果当前用户的版本和最新发布的版本不一致,就说明他应该更新了。
第二,如何提供更新补丁。第一种方法:只提供修改了的文件,并且修改的文件应该根据系统的目录进行打包。比如我修改了系统目录中admin文件夹中的index.php文件,那么补丁里不能直接存放indxe.php,而是要新建一个admin文件夹,把修改完的index.php文件存进后再将admin目录打包。第二种方法:不管修改了多少文件都将系统整体打包。补丁包里面应该附带有详细的更新说明以及更新方法。
第三,如何让用户更新。对于这两种方法都是让用户下载补丁后覆盖原文件,当然基于保险考虑应该提示用户备份原文件。可以单独让用户下载更新包或者提供在线更新。
第四,数据结构的更新。这个与更新代码不一样,稍微特别了点。因为数据库里面可能已经有数据了,所以肯定不能删除原数据库,再生成新的数据库。那么怎么办呢?只能通过修改语句对特定的表进行操作,比如添加或者删除字段,新增一个表或者删除一个表等。
第五,版本跨度大如何升级。有的用户可能使用的版本非常旧,与最新版之间间隔了多个版本,怎么升级?最保险的就是一个补丁一个补丁的进行安装;如果要一次性安装怎么办,那就必须要根据不同的版本制作不同的安装包,因为从版本1到版本2可能只改动了1个文件,从版本2到版本3可能也只改动了1个文件,但是从版本1到版本3就改动了2个文件了,所以根据不同的版本制作不同的安装包是必要的也是必须的。
总之,提供更新补丁最重要的一点就是要能够准确判断当前版本与最新版本的区别,然后下载对应的补丁。对数据结构的改动应该谨慎,一般情况下可以有新增(表或字段),但要尽量避免删除。
php漏洞修复
打开php配置文件,php.ini,然后在里面搜索dll,把你下载的布丁照着格式复制一行就行了。比如你下载的补丁为abc.dll;就加一行extension=abc.dll