#1 wangyz636

我看cms里admin模块basecontrol初始化方法：

    function init() {
        header("Content-type: text/html; charset=utf-8");
        if ( false == $this->checkAccess()) {
            $this->tips("没有权限或登录过期，请重新登录！", url("login", "index"));
        }
        $this->layout_title = "CMS后台管理";
    }


我建站时竟然不小心把红字这一行给注销掉了，于是后台大门直接敞开，路径正确就可以访问后台任何资源，由此我心有余悸的问一下，这样一行代码验证身份是否安全（会不会存在代码会被木马篡改？）。

2019-09-25 11:29:58

#2 jake

。。。如果木马可以篡改代码文件，那么就可以做太多事情了，比如说改一下你的密码之类的，或者直接开个后台scp把后台资源全部搬走，都比要了解代码再来改登陆逻辑简单多了吧。

2019-09-25 16:31:44

#3 wangyz636

:lol,说得对，是我多虑了，看来开发环境中的代码搬到生产环境，除了把'debug' => 0外，还要多测试下，把每次新发现需要测试的点累计记录下来。

2019-09-26 08:48:52

#4 jake

一般我们生产环境还有个关键的地方，就是前面有好几层nginx，后面再到web php，在前面的nginx那儿把各种信息都屏蔽了，只给出类似404或者服务不可用之类的提示。这样做可以保证调试debut信息或者其他敏感信息暴露到外网。

2019-09-26 16:31:02