CI的视图里打印一下变量 $this ,太可怕了,什么都有呀
在给美工的视图文件夹里,美工要做前端界面,他在视图文件里放入<?php var_dump($this) ; ?>
就可以看得到所有?包括数据库账号密码
这是不是很可怕 眼镜990 发表于 2016-6-30 23:13
因为有时,弄一个测试环境,美工可能是另外的人,而不是公司内部的。
看来,这样的环境搭建,不适合美工的 ...
美工你让他直接做 HTML 不就好了么,不管用不用 CI,他只要接触 PHP 就可以拿到你的数据库配置信息,甚至可以攻击你的服务器,因为 PHP 本身权限就很大。
我觉得你好像想偏了,一般公司不是你想的那样的。 眼镜990 发表于 2016-6-30 14:39
如果 一个公司里弄分工的话,给美工的这个视图文件夹,那么,美工就可以看得到所有信息了 ...
美工看到的应该是开发环境的信息,开发环境有开发环境的数据库配置。
实际上,只要美工能执行你的PHP代码,不管你的 $this 有没有信息,他都可以拿到他需要的信息,美工不是你要防范的对象。。。。 这个 $this 应该是 CI 的超级对象,这里确实包含了 CI 几乎所有数据,但是这些都是在服务器内存里的,你不输出给用户,用户无法拿到这些内容,所以不存在安全问题。 没人回? 。。。。。。。。 你把程序打包发给人家也一样可怕~ 如果 一个公司里弄分工的话,给美工的这个视图文件夹,那么,美工就可以看得到所有信息了 脚本注入 :lol 如果说团队里的人都得防的话,那全部给你一个人做么? 因为有时,弄一个测试环境,美工可能是另外的人,而不是公司内部的。
看来,这样的环境搭建,不适合美工的活外包吧。 眼镜990 发表于 2016-6-30 23:13
因为有时,弄一个测试环境,美工可能是另外的人,而不是公司内部的。
看来,这样的环境搭建,不适合美工的 ...
所以才需要簽合約阿
页:
[1]
2