当一个高手浏览你的网站的时候,你网站的报错信息将给黑客提供攻击你网站的信息。比如对于空操作、空控制器,你会暴露给给黑客你网站后台所用的框架,黑客会根据框架本省的漏洞对你网站进行攻击。因此,我们需要对空控制器、空操作进行处理,不给黑客留下任何蛛丝马迹。
1. 空操作处理
首先看一下效果:
对于我在IndexController.class.php这个文件里我并没有hello这个方法,担任如果我试图去访问这个方式时,会报如下信息:
注:空操作的本质:一个对象(控制器)调用本身不存在的方法
对于懂ThinkPHP的开发人员来说,很容易看出此网站后台用的是ThinkPHP框架。那么我们怎么来屏蔽这些问题呢?这就是我们今天要讨论的内容。
解决方式1,在控制器里添加一个__call($method,$argvs)的方法
立即学习“PHP免费学习笔记(深入)”;
这样,当你再次访问hello方法是就会默认调用控制器的__call($method,$args)方法。
但是!当我们有很多个控制器的时候,我还要每个控制器都写一个__call($method,$args)方法?显然不合理!因此,我们需要把此方法写到控制器的父类里,只需通过继承的方式即可。我们走进Controller.class.php却能找到__call()方法,因为TP已经帮我们做好了,在他的思想里,是看我们是否在控制器里定义了一个叫做_empty()的方法。如果定义了,则调用这个方法
普通控制器父类的位置:ThinkPHP/Library/Think/Controller.class.php
NetShop软件特点介绍: 1、使用ASP.Net(c#)2.0、多层结构开发 2、前台设计不采用任何.NET内置控件读取数据,完全标签化模板处理,加快读取速度3、安全的数据添加删除读取操作,利用存储过程模式彻底防制SQL注入式攻击4、前台架构DIV+CSS兼容IE6,IE7,FF等,有利于搜索引挚收录5、后台内置强大的功能,整合多家网店系统的功能,加以优化。6、支持三种类型的数据库:Acces
0
解决方式2
给空操作的名称制作一个同名的模板出来,系统会自动调用该模板。
2. 空控制器处理
由于没有BeijingController.class.php这个文件,所以报错了!!
经过分析TP框架的源码,我们有如下解决办法
所以,我们需要定义一个空的控制器。当我们访问不存在的控制器的时候,就会按照我们指定的错误给我们报错。
好啦,空操作、空控制器就先说到这里O(∩_∩)O~
855
收藏
