augushong
augushong
怎么解决呢?
感谢回复。 我干脆直接自己写了一个拖动。 这个组件在vue2很好用。
csrf体验有问题,直接关掉吧。
不能,目前的导出是按照表结构的注释导出的, 可以参考这个链接实现带参数导出: https://gitee.com/ulthon/ulthon_admin/commit/fbf55bca4b0bd560221aa56355c8545c4f59fd75 参考这个链接,实现了根据页面表格的字段显示导出表格: https://gitee.com/ulthon/ulthon_admin/commit/eaf56e3652b441b96f042be9c7fc379e6895b51c
是的,注意就行了。这根eval($cmd)没啥区别了。unserialize本来就应该在信任的数据中执行。
再安全点,就是用第三方存储,程序和数据分离。php-fpm环境确实有这种问题。
也不用非得第三方,自己搭一个静态站点,用ftp连上去,也行。不过这些都是运维和架构的事了。 tp的这个反序列化问题,得看看是不是会影响到特性。看样子只要使用的类库(不管是不是tp的)在反序列化时能执行东西,就有问题。
其实还是要看下产品的成本和使用者的成本就可以了。 这种问题,如果稍微规范一点使用方式,稍微专业一点的开发和运维就能避免,那其实不需要去考虑的, 规范使用者的成本比调整产品的成本低。 其实箱laravel这种框架,都已经很流行使用serverless容器之类的东西了,肯定不会碰到上传文件的。 虽然php的发展方向咱不知道,但是如果无底线的降低使用者的成本,但是却限制了框架的发挥,也不是好事。 具体还是得看实用经验,大家可以反馈讨论一下这个事。
反正我基本没有遇到过反序列化请求数据的情况。 顶多就是序列化的数据存到数据库、对象存储或者本地存储。直接请求的还没遇到过。
phar包的话,很少把他当依赖加载吧。主要还是主动地去加载它,是不。