2017-07-07更新日志

此次更新主要涉及两个安全更新,强烈建议更新,同时新增的后台独立入口也建议所有用户进行更新
新增独立的后台管理入口
修复前台Auth类权限的BUG
修复后台自动登录的BUG(感谢群友Appqy的反馈)
移除空余的配置文件和第三方前端插件

修复自动登录的BUG

如果你已经使用FastAdmin投产,建议你立即手动修复此BUG,以下是修复方式
找到打开application/admin/library/Auth.php文件,定位到$admin = Admin::get($id);,然后将

$admin = Admin::get($id);
 if (!$admin)
 {
    return false;
}

替换成

$admin = Admin::get($id);
 if (!$admin || !$admin->token)
 {
    return false;
}

这个BUG是由于在自动登录判断中未判断token为空的情况下导致keeplogin这个cookie可以被伪造的BUG

新增独立后台入口

1.下载public/admin.php到你的public目录,改成任意你想使用的文件名,比如yt8wg3c.php
2.修改application/config.php中的deny_module_list的值,将admin添加进去,比如['common', 'admin']
3.以后登录后台都从https://www.yourwebsite.com/yt8wg3c.php这个入口登录

修复XSS漏洞

找到public/assets/js/require-table.js文件,找到第36行左右

checkOnInit: true,

替换成

checkOnInit: true,
escape: true,
10 条评论

发布
问题