今天遇到一个老项目,thinkPHP5.0.24框架而且还是搞外贸的,后台的收款信息经常被篡改,甚至黑客留言勒索。客户说是为了省钱几百块买的源码,结果还没正式上线,就被搞成这样。他们自己不管怎么改后台账号密码都没有用,因为他们前脚改回去,后脚就又被改了!由此可见,国外还是挺脏的。然后他们百度后听说mysql有个触发器,让我给他写个触发器监控到收款信息变动就还原回去,确实是个方法,但是这种也防住了自己,但是他们管不了那么多,只能如此😂
我看了一下他们的网站后,好家伙,发现是thinkPHP而且是5.0.24,其实他这个就是thinkPHP的日志信息泄露漏洞,我们修复一下就好了,完全不需要用到mysql触发器
thinkphp3与thinkphp5都存在这个日志信息泄露漏洞
删除Runtime/Log下的所有文件,并将DEBUG设置为false
就能修复这个问题
都2024年了,买源码别再买thinkPHP3.x和thinkPHP5.x框架的源码了,最近几个月已经碰到两三个这5.x的了,找我修复,有个冤大头买个源码花了一两万结果还是5.x框架的,新项目现在都用thinkPHP8.x了,再怎么不行,用thinkPHP6.x也可以的
