ThinkPHP空操作、空控制器处理
当一个高手浏览你的网站的时候,你网站的报错信息将给黑客提供攻击你网站的信息。比如对于空操作、空控制器,你会暴露给给黑客你网站后台所用的框架,黑客会根据框架本省的漏洞对你网站进行攻击。因此,我们需要对空控制器、空操作进行处理,不给黑客留下任何蛛丝马迹。
1. 空操作处理
首先看一下效果:
对于我在IndexController.class.php这个文件里我并没有hello这个方法,担任如果我试图去访问这个方式时,会报如下信息:
注:空操作的本质:一个对象(控制器)调用本身不存在的方法
对于懂ThinkPHP的开发人员来说,很容易看出此网站后台用的是ThinkPHP框架。那么我们怎么来屏蔽这些问题呢?这就是我们今天要讨论的内容。
解决方式1,在控制器里添加一个__call($method,$argvs)的方法
这样,当你再次访问hello方法是就会默认调用控制器的__call($method,$args)方法。
但是!当我们有很多个控制器的时候,我还要每个控制器都写一个__call($method,$args)方法?显然不合理!因此,我们需要把此方法写到控制器的父类里,只需通过继承的方式即可。我们走进Controller.class.php却能找到__call()方法,因为TP已经帮我们做好了,在他的思想里,是看我们是否在控制器里定义了一个叫做_empty()的方法。如果定义了,则调用这个方法
普通控制器父类的位置:ThinkPHP/Library/Think/Controller.class.php
解决方式2
给空操作的名称制作一个同名的模板出来,系统会自动调用该模板。
2. 空控制器处理
由于没有BeijingController.class.php这个文件,所以报错了!!
经过分析TP框架的源码,我们有如下解决办法
所以,我们需要定义一个空的控制器。当我们访问不存在的控制器的时候,就会按照我们指定的错误给我们报错。
好啦,空操作、空控制器就先说到这里O(∩_∩)O~~
下载本文