zblog
当前位置:首页 > zblog > 正文内容

zblog

zblogphp1.5.2开发者迁移指南

豫唐网络4年前 (2018-04-26)2774

自此版本开始,加强安全相关功能。

登录相关

此版本不再使用 password Cookie,用户密码不再直接暴露。增加token Cookie,并且强制置于 httpOnly 模式。因此:

1. 不再允许前端设置Cookie登录,也不再允许在前端读取密码相关。

2. 前端模板注销链接需要更新。

使用setcookie做模拟登录的开发者,请使用 SetLoginCookie($user, $cookieTime) 函数,传入需要登录的用户。如应用需要兼容旧版本,可使用function_exists做判断。

CSRF相关

本版本对所有会造成副作用的链接,包括注销、发表文章等通过cmd.php处理的链接。因此,如果您的应用有跳转到这些链接,或提交数据,请同时提交一个 token 参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。

可参考:https://github.com/zblogcn/zblogphp/commit/e84c581bb0d6f4fd9026d7fc319d4a80eeaab2eb

通过GET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:

<?php echo BuildSafeCmdURL('act=TagPst'); ?>

如果不是,那么您也可以直接

<?php echo BuildSafeURL('main.php'); ?>

通过POST方法提交,您可以在form表单内加入

echo '<input type="hidden" name="csrfToken" value="' . $zbp->GetCSRFToken() . '">';

如果需要兼容旧版Z-BlogPHP,可以使用

<?php if (function_exists('CheckIsRefererValid')) {echo '<input type="hidden" name="csrfToken" value="' . $zbp->GetCSRFToken() . '">';}?>

如果您想在您的应用内集成CSRF Token检测(这将在未来成为上架应用中心的必需要求),以及在增强安全模式下进行来源检测,您可以直接使用以下函数

CheckIsRefererValid();

如果需要兼容旧版Z-BlogPHP,可以使用

if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

参考:https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660

当然,如果您对报错有更多的要求,$zbp→VerifyCSRFToken() 也许更符合您的心意。

扫描二维码推送至手机访问。

版权声明:本文由汤阴县豫唐网络科技有限公司发布,如需转载请注明出处。

分享给朋友:

相关文章

检查并闭合html代码中的各种未闭合的成对标签

检查并闭合html代码中的各种未闭合的成对标签

可以使用zblog PHP的CloseTags函数。检查并闭合html代码中的各种未闭合的成对标签。'br', 'input', 'img', '...

phpQuery获取HTML图片

phpQuery获取HTML图片

phpQuery获取HTML图片/**  * 获取html文本里的img  * @param string $content ...

zblogphp页面管理页面增加子菜单接口说明

zblogphp页面管理页面增加子菜单接口说明

接口名称:Filter_Plugin_Admin_PageMng_SubMenu接口描述:文章管理页面增加子菜单调用方法:Add_Filter_Plugin('Filter_Plugin_Ad...

Zblogphp打开开发者模式

Zblogphp打开开发者模式

在用Zblogphp修改程序的时候,代码难免会出现错误导致网页无法正常访问。Zblogphp默认的情况下仅给出一个页面出错的提示,这个时候就需要用到开发者模式,开启开发者模式后,可以很清楚的找到错误代...

zblogphp一键强制开启开发模式

zblogphp一键强制开启开发模式

    有时候在使用zblogphp的时候,因修改代码或者其他什么操作的时候,导致全站打不开。而,正常情况下,在运营的站点,都是不开启《开发模式》的,这个时候就...

zblogphp打开调试模式的方法zblogphp程序报错怎么办

zblogphp打开调试模式的方法zblogphp程序报错怎么办

        因为出问题了,所以要开调试定位和解决,而不是因为开了调试,所以出问题了。未开调试模式的报错界面  &nb...