2017-07-07更新日志

Karson 2017-7-7 713

此次更新主要涉及两个安全更新,强烈建议更新,同时新增的后台独立入口也建议所有用户进行更新
新增独立的后台管理入口
修复前台Auth类权限的BUG
修复后台自动登录的BUG(感谢群友Appqy的反馈)
移除空余的配置文件和第三方前端插件

修复自动登录的BUG

如果你已经使用FastAdmin投产,建议你立即手动修复此BUG,以下是修复方式
找到打开application/admin/library/Auth.php文件,定位到$admin = Admin::get($id);,然后将

$admin = Admin::get($id);
 if (!$admin)
 {
    return false;
}

替换成

$admin = Admin::get($id);
 if (!$admin || !$admin->token)
 {
    return false;
}

这个BUG是由于在自动登录判断中未判断token为空的情况下导致keeplogin这个cookie可以被伪造的BUG

新增独立后台入口

1.下载public/admin.php到你的public目录,改成任意你想使用的文件名,比如yt8wg3c.php
2.修改application/config.php中的deny_module_list的值,将admin添加进去,比如['common', 'admin']
3.以后登录后台都从https://www.yourwebsite.com/yt8wg3c.php这个入口登录

修复XSS漏洞

找到public/assets/js/require-table.js文件,找到第36行左右

checkOnInit: true,

替换成

checkOnInit: true,
escape: true,
最后于 2017-7-7 被Karson编辑
最新回复 (10)
  • 感谢TA
    0 引用 2

    :pray:

  • F4NNIU 打赏 2017-7-8
    感谢TA
    0 引用 3

    收到.

  • abnner 2017-7-19
    感谢TA
    0 引用 4

    独立后台入口改了名字之后没有用啊,访问不到https://cdn.forum.fastadmin.net/uploads/201707/19/bf7d3d558efbbfec335e9decb3e4d7c2)![

  • abnner 2017-7-19
    感谢TA
    0 引用 5

    @abnner 后台入口改了名字之后也访问不到。。。

  • 810783366 2017-8-3
    感谢TA
    0 引用 6

    修改application/config.php中的deny_module_list的值,将admin添加进去,比如['common', 'admin']
    这个你没改

  • F4NNIU 打赏 2017-8-4
    感谢TA
    0 引用 7

    @810783366 修改application/config.php中的deny_module_list的值,将admin添加进去,比如['common', 'admin']

    这个你没改
    这个是安全建议, 默认没有, 需要自己加入.
  • manboo 10月前
    感谢TA
    0 引用 8

    这个有人做过吗? 试了下发现验证码显示不了了。

  • manboo 10月前
    感谢TA
    0 引用 9

    这样修改后,如果验证码显示不了
    \vendor\topthink\think-captcha\src\helper.php
    function captcha_src($id = "")
    {
    $root= \think\Url::root('/index.php'); //加这一句。。。。
    return \think\Url::build('/captcha' . ($id ? "/{$id}" : ''));
    }

  • bing 9月前
    感谢TA
    0 引用 10

    666

  • aione 9月前
    感谢TA
    0 引用 11

    php7.0修改后台路径后找不到模块,deny_module_list已修改,后台入口报404错误。麻烦解答一下,谢谢

  • 未登录
    12
返回