CI的视图里打印一下变量 $this ，太可怕了，什么都有呀

眼镜990 · 发表于 2016-6-29 17:30:29

在给美工的视图文件夹里，美工要做前端界面，他在视图文件里放入
<?php var_dump($this) ; ?>

就可以看得到所有？包括数据库账号密码

这是不是很可怕

Hex · 发表于 2016-7-1 11:08:21

眼镜990 发表于 2016-6-30 23:13
因为有时，弄一个测试环境，美工可能是另外的人，而不是公司内部的。

看来，这样的环境搭建，不适合美工的 ...

美工你让他直接做 HTML 不就好了么，不管用不用 CI，他只要接触 PHP 就可以拿到你的数据库配置信息，甚至可以攻击你的服务器，因为 PHP 本身权限就很大。

我觉得你好像想偏了，一般公司不是你想的那样的。

Hex · 发表于 2016-6-30 21:13:13

眼镜990 发表于 2016-6-30 14:39
如果一个公司里弄分工的话，给美工的这个视图文件夹，那么，美工就可以看得到所有信息了 ...

美工看到的应该是开发环境的信息，开发环境有开发环境的数据库配置。

实际上，只要美工能执行你的PHP代码，不管你的 $this 有没有信息，他都可以拿到他需要的信息，美工不是你要防范的对象。。。。

Hex · 发表于 2016-6-30 14:07:53

这个 $this 应该是 CI 的超级对象，这里确实包含了 CI 几乎所有数据，但是这些都是在服务器内存里的，你不输出给用户，用户无法拿到这些内容，所以不存在安全问题。

眼镜990 · 发表于 2016-6-29 21:52:54

没人回？

喜剧之王 · 发表于 2016-6-30 11:11:37

。。。。。。。。你把程序打包发给人家也一样可怕~

眼镜990 · 发表于 2016-6-30 14:39:12

如果一个公司里弄分工的话，给美工的这个视图文件夹，那么，美工就可以看得到所有信息了

tangyanglai · 发表于 2016-6-30 21:15:19

脚本注入

Michael锐生 · 发表于 2016-6-30 22:03:51

如果说团队里的人都得防的话，那全部给你一个人做么？

眼镜990 · 发表于 2016-6-30 23:13:20

因为有时，弄一个测试环境，美工可能是另外的人，而不是公司内部的。

看来，这样的环境搭建，不适合美工的活外包吧。

Closer · 发表于 2016-7-1 09:35:11

眼镜990 发表于 2016-6-30 23:13
因为有时，弄一个测试环境，美工可能是另外的人，而不是公司内部的。

看来，这样的环境搭建，不适合美工的 ...

所以才需要簽合約阿

		自动登录	找回密码
密码			入住 CI 中国社区

[版本 3.x] CI的视图里打印一下变量 $this ，太可怕了，什么都有呀