CodeIgniter 英文官方網站

CodeIgniter Blog & 新聞

CodeIgniter 1.7.2 安全性錯誤修正

一個針對安全問題的修復已經新增到 CodeIgniter 1.7.2。你可以透過重新下載 CodeIgnieter,或者下載單獨的修正檔來修復。所有使用檔案上傳類別的應用都應該安裝這個修正檔,以確保這些應用不會受到攻擊。

 

修復此問題時我們也乘機改進了一下 Upload 類別以允許對檔案名稱的修改。在此之前,你需要從使用者上傳檔案的名稱中刪除副檔名,並且也不能修改副檔名。現在,使用 "file_name" 選項來重新命名時,你可以提供整個檔案名稱,包括副檔名,以便真正修改檔案名稱。

 

在修復該 Patch 檔之後,如果你在 Upload 類別中使用了 "file_name" 重新命名,你需要依據以上改動對你的代碼做出相應的調整。其實我們並不想在某個版本中添加可能破壞對早期版本兼容性的代碼,這個變更是因為這是安全性修改的必要部分。

 

如果你正在使用來自 BitBucket 的 Mercurial repository 的 CodeIgniter,請確保下載的是最新版本。版本 1.7.2 已進入分支並重新新增標籤以包含此修復檔。

 

我們要感謝 CodeIgniter 用戶 alexaholic 讓我們注意到了這個問題。安全性一直以來都是我們產品的首要品質,而我們也會讓自己在任何安全問題出現時能被直接有效地聯繫上。

發布者: appleboy, 日期: 2010-07-25 09:00:00