給「愚人節快樂!」的迴響
[ 1 : 靜態鏈結 ]

各位是够费心的,我上了连环当

Isaac 發表於 April 1, 2003 04:17 PM
[ 2 : 靜態鏈結 ]

夭朽啊~ 害我半夜三更又是截屏又是切图又是KEYIN就为了帮你们在这边秀一下!

http://digiblog.org/forum/viewtopic.php?topic=400&forum=4

由 badle 發表於 April 1, 2003 05:17 PM
[ 3 : 靜態鏈結 ]

哈哈,大家都很會裝...lol
不過為什麼不等節日過了再揭曉呢XD

Jimmy 發表於 April 1, 2003 06:31 PM
[ 4 : 靜態鏈結 ]

因為愚人節也有上下班的啊。

下班前就應該揭曉,玩太絕總是過於缺德,會損失好朋友。另一方面,早一點揭曉纔有機會能夠免責吧。

Jedi 發表於 April 1, 2003 06:45 PM
[ 5 : 靜態鏈結 ]

真希望沒有人因為這樣就把MT給反安裝從此不用了....
我還以為它終究不甚安全哩

由 boogieman 發表於 April 1, 2003 10:09 PM
[ 6 : 靜態鏈結 ]

movabletype其实并不适合做多用户blog管理系统。其中的权限管理和安全并不完善。比如upload文件,可以用../就写其他目录了。还有就是修改template同样有这样的问题。另外就是如果给用户增加自己blog用户的权限,居然他可以做其他管理员的事情。实在不好。

winter 發表於 April 1, 2003 11:25 PM
[ 7 : 靜態鏈結 ]

其實沒有這麼慘。

Movable Type 上確實有一些安全上的顧慮,不過總是有方法可以處理掉。祇是妳得在事前有清楚的規劃,纔能夠防堵所有的漏洞。

例如說,把每個使用者的目錄錯開,讓她們彼此更獨立而不受影響。諸如此類。嗯,我來加一個章節好了。「網誌組態」裡的「核心設定」確實是會讓人頭疼的地方,也許可以建議 Movable Type 的作者多做一個權限設定。

另, Movable Type Pro 也許會有更好的作法。

Jedi 發表於 April 1, 2003 11:39 PM
[ 8 : 靜態鏈結 ]

错开有用么?用 .. + dir-name就可以访问了。还有一个顾虑我没有试验。就是template允许用publish出php文件。这样的话,实际上是可以往系统写恶意代码并运行的。除非你的weblog目录是只能用html.

winter 發表於 April 2, 2003 12:15 AM
[ 9 : 靜態鏈結 ]

winter 的說法起碼在 2.63 是不可行的. 見 MT::App::CMS line 264:

if ($fname =~ m!\.\.|\0|\|!) {
return $app->error($app->translate("Invalid filename '[_1]'", $fname));
}

autrijus 發表於 April 2, 2003 04:36 AM
[ 10 : 靜態鏈結 ]

你说的是对的。我太急而没有测试好。

winter 發表於 April 2, 2003 08:53 AM
[ 11 : 靜態鏈結 ]

因为以前做MIS一直习惯是在保存输入的时候做校验,检查输入是否合法才允许写入数据库。而MT的做法是发布的时候校验,输入的时候不检查的。我看见可以保存成功,就觉得纳闷了。另外,关于php的问题,你们有这样的担心么?

winter 發表於 April 2, 2003 08:56 AM
[ 12 : 靜態鏈結 ]

well, 這邊可以看看別人是怎麼玩的

http://www.frostyplace.com/index.php?story_id=1568

由 nutty 發表於 April 2, 2003 01:29 PM
[ 13 : 靜態鏈結 ]

还好是愚人节,不然jedi那段伪造的简体留言还真有误导性,让人觉得大陆的人都很坏,都那么没肚量呢

googoz 發表於 April 4, 2005 05:48 PM
給我迴響吧!

注意事項

  • 因為廣告留言很多,如果您發表後看不到,請靜候審核通過(通常在一個工作天內能夠處理完成)。
  • 與文章內容無直接關聯的留言一律不予回覆,留言前請善用部落格文章搜尋功能;如果真的找不到直接相關的文章,請善用無主題留言板
個人資訊








是否記住個人資訊?



請依上圖輸入檢核碼:
迴響