PhpStore安全完善升级相关说明 2016-06-28

【1】增强了前台和后台图片文件上传类型检测。杜绝了一些伪装成图片的木马后门文件。 比如下面这个:


屏幕快照 2016-06-28 上午8.14.19.png


这个webshell的老巢   http://www.zjjv.com/author/zjjv/


杜绝此类文件 被上传到服务器的方法 就是 一定对上传文件 做严格类型的检测。

laravel提供了非常完善的表单类型检测。

屏幕快照 2016-06-28 上午8.29.07.png


对于图片类型检测

$rules = ['upload_img'=>'image']

PhpStore图片上传组件 使用Laravel的image组件。升级后 所有单个图片的上传均由如下函数来处理。

屏幕快照 2016-06-28 上午8.19.17.png


如果上传了非法图片 上传会终止 直接返回false


对后台批量上传的图片的地方 我们也做了安全加强。


屏幕快照 2016-06-28 上午8.32.46.png


我们使用的是Laravel LTS版本 对数组的验证 还需要使用如下方法。Laravel5.2对数组表单验证会更简单一点

   /*
    |-------------------------------------------------------------------------------
    |
    |  处理批量上传图片的类型检测
    |
    |-------------------------------------------------------------------------------
    */
    public function goods_gallery_check(){

        $files            = Request::file('original_imgs');
        $nbr              = count($files) - 1;
        $rules            = [];

        foreach(range(0,$nbr) as $index){

            $rules['original_imgs.'.$index]   = 'image|max:4000';
        }

        $validator        = Validator::make(request()->all(),$rules);

        if($validator->fails()){

            return false;
        }

        return true;

    }



【2】加强服务器的安全 对目录权限进行设置。禁止图片目录下的可执行权限 杜绝非法文件运行

        对阿里云 可以购买阿里云的安全卫士(vip版本)

屏幕快照 2016-06-28 上午8.46.43.png


【3】隐藏 后台登录路径   PhpStore v2.8 后台登录路径 完全可以自定义


最后说一点:没有那个系统是绝对安全的 就连ios系统都能被越狱。。。所以 定期升级很重要。

我们承诺:PhpStore会一直研发下去 每个月会进行迭代更新升级:)

本文章为 LaravelStore官网原创 转载请注明出处。谢谢合作!