#1 wangyz636
我看cms里admin模块basecontrol初始化方法:
function init() {
header(“Content-type: text/html; charset=utf-8”);
if ( false == $this->checkAccess()) {
$this->tips(“没有权限或登录过期,请重新登录!”, url(“login”, “index”));
}
$this->layout_title = “CMS后台管理”;
}
我建站时竟然不小心把红字这一行给注销掉了,于是后台大门直接敞开,路径正确就可以访问后台任何资源,由此我心有余悸的问一下,这样一行代码验证身份是否安全(会不会存在代码会被木马篡改?)。
2019-09-25 11:29:58
#2 jake
。。。如果木马可以篡改代码文件,那么就可以做太多事情了,比如说改一下你的密码之类的,或者直接开个后台scp把后台资源全部搬走,都比要了解代码再来改登陆逻辑简单多了吧。
2019-09-25 16:31:44
#3 wangyz636
jake 发表于 2019-9-25 16:31
。。。如果木马可以篡改代码文件,那么就可以做太多事情了,比如说改一下你的密码之类的,或者直接开个后台 ...
2019-09-26 08:48:52
#4 jake
wangyz636 发表于 2019-9-26 08:48
,说得对,是我多虑了,看来开发环境中的代码搬到生产环境,除了把'debug' => 0外,还要多测试下,把 ...
2019-09-26 16:31:02