- 2021/09/28
- |
- 心得分享
- |
- 0 Replies
工作原因,最开始的需求其实只是希望“新版本未上线之前,审核时不影响老版本使用”,后面衍生出了“新版本接口变动能兼容老版本(不要老强更)”由于没有其他相关的经验,就只能自己想了些办法,最开始准备了两个方案:代码中根据版本不同直接路由到不同的控制器去。Nginx 中根据版本重写到不同的目录去。最后选择 Nginx 的方案也很简单,因为如果在代码中做兼容,由于很多改动不仅涉及到控制器,可能会对 Model、Service、Event 等相关同步做调整,这时候想做兼容还是比较困难的,乃至做了修改需要新旧版本一起测。所以最后放弃这个方案,写新版本代码时直接对着新需求来写,部署时所有版本都部署一套对...
- 2020/05/25
- |
- 程序资源
- |
- 2 Replies
博客有很久一段时间都没有 “开启反垃圾保护”,也不是我不想开,而是....我特么开了以后,就无法留言了...而我又比较懒,所以就干脆把反垃圾关掉了,反正也没几个人评论。不曾想,是啊,没人评论,垃圾评论机器人可真不少,每天都有一堆垃圾评论怼进来,删删删的翻了,我要看下到底是为啥反垃圾评论会吞评论...找了一通,发现问题了...打开页面时程序给的 “反垃圾 Token” 和提交评论时程序再次生成的 “反垃圾 Token” 不一致。具体影响代码在 /var/Widget/Security.php:115: /**
* 保护提交数据
*
*/
publ...
- 2017/09/19
- |
- 心得分享
- |
- 0 Replies
最近一个朋友跳槽到了新公司,公司要用DedeCMS建站。然而对这个比较熟的朋友应该知道,系统是够老牌。但系统的漏洞比功能还多,如何保证服务器安全不被挂马是个大问题。由于他们公司没有专业的技术,就找到我这来寻求帮助,本着助人为乐的想法,除了这样一个方案。由于DedeCMS系统是全站生成静态的,而漏洞必然是通过PHP执行的,所以,防护的切入点为禁止他人访问PHP文件。这样,全站由于是静态的,并不会有太大影响。思路如下,使用Nginx的Auth验证系统,对所有PHP的访问加上密码验证,不了解Auth验证的可以去了解一些,这里不多说。同时,为了防止黑客暴力破解密码,以及提高伪装性,加入了一个He...