thinkphp 偷懒没升级被上了一课

原来看到了 thinkphp 有一个安全更新，但是因为项目太多，就更新了一些常用项目，有些项目没有更新，今天有人反应网站的 keyword 被修改，而且百度进来的访问会被跳转，连忙查找发现 thinkphp 中 public/index.php 被修改，修改后的代码主体是原来首页的 html，js 判断是否从百度，谷歌等搜索引擎进来，如果是就跳转，所以我一直没发现，连忙挨个升级 thinkphp，在我升级过程中还不断有项目被更改，刚刚终于全改完了，应该是已经出来了自动攻击工具了

Mitt

2018-12-28 12:29:11 +08:00

某某: 只要稳定，升级就是给自己找麻烦

现实总是应该会多给这种人几个巴掌

nicevar

2018-12-28 12:37:29 +08:00

这些框架有人盯着真的很难逃脱，一个参数没处理好可能就 gg 了
上次我帮朋友把他一个项目从 2 升级到 3 并支持 php7，由于 t5 版本改动太大不考虑升了，顺便帮他补了一下注入漏洞，结果发现太多了，到后面我都不想动了，就那样吧

ioschen

2018-12-28 13:45:07 +08:00

@Mitt 这话没毛病，这种还不是因为不稳定有 bug 漏洞导致。
如果真的稳定还是不要升级好

just1

2018-12-28 13:57:44 +08:00

@ioschen #3 稳定！=安全。然后漏洞没报出来之前谁也不知道是不是安全的。

topthink

2018-12-28 16:55:56 +08:00

ThinkPHP 每年被挖点漏洞倒是帮助官方更方便统计有多少用户在用来来来，看看 V2 有多少用户在用 TP :-)

topthink

2018-12-28 17:39:04 +08:00

关注官方博客或者公众号，就能第一时间获取安全更新和最新动态
博客： https://blog.thinkphp.cn/
附上最新一次的安全更新： https://blog.thinkphp.cn/869075

@showecho 3.x 版本不受此次漏洞影响

gouchaoer

2018-12-28 20:13:33 +08:00

tp 都爆出多少任意代码执行了？你看看 yii、cake 啥的有这么多么？搞不懂为啥还这么多人用

icerhe

2018-12-28 20:44:21 +08:00

是不是 php 框架盯着的人多?我这里访问日志看到的尝试攻击基本都是 php 的,问题我这里所有项目都是 java 啊...

wly19960911

2018-12-28 21:00:02 +08:00

@icerhe #16 很多 PHP 就能自动部署的站，比如 WordPress，那种站被盯着是最多，你们这种自己开发的写出来不适用其他网站

2018-12-29 04:17:51 +08:00

@gouchaoer #14 就好像经常有人喷 win 病毒多一样。
那是因为用的人多，才会被盯上

ioschen

2018-12-29 11:58:30 +08:00

@just1 你说的我懂，所以我说真的稳定，还有照这么说下去永远都没有安全的，因为鬼知道有没有 bug。
真的稳定至少那段时间没被人发现漏洞就是真稳定，等发现的时候已经退出新的稳定版，补丁，已经修复了这个 bug，所以还是稳定安全的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/521847

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.