内容目录一、详细介绍安装部署建议二、效果展示1.部分代码2.效果图展示一、详细介绍与官方区别就是去掉了官方更新远程代码没有沿用官方的新界面简单点就是安全基数升级了运行目录设定为 public 采集插件请在应用中启用## 2025年2月5日 开始– [大更新] 升级thinkphp框架为最新版5.0.27– [大更新] 迁移 运行目录为public即thinkphp安全标准– 更新安装程序 新增可在安装时自动生成随机 和 自定义后台入口文件名称– 去除后台 潜在远程JS代码 杜绝可能来之官方的xss攻击– 去除后台 自动更新以免来之官方的 远程控制 风险– 去除后安装记录 提交到http://www.****.la远程服务 杜绝可能来之官方的xss攻击– 去除后台版本检测和后台信息收集杜绝可能来之官方的xss攻击– 解密后台 关于http://www.*****.la字符加密– 模板安装目录 由根目录/template迁移到根目录/public/template– [大更新] 修复后台 未定义变量、未定义数组是索引、各种致命错误 50 多处– [大更新] 修复前台 未定义变量、未定义数组是索引、各种致命错误 200 多处– [性能优化] 优化多出算法以及错误产生的阻塞问题– 优化缓存安全过滤可能由缓存溢出导致的安全问题– 优化后台首页加载速度– 加入群站url独立密码功能– 网站导航加入一键获取网站信息功能– 解密player.js去除远程JS代码, 夜间跳广告的主要原因– 新增后台登录Token口令验证有效防御CSRF跨站攻击;– 屏蔽后台 “网站首页” 链接的来路追踪避免前台js 获取上一页url 而暴露后台入口– 过滤来自资源站的xss跨站脚本攻击代码– 修复后台测试邮件发送功能的执行任意php代码漏洞漏洞场景绕过后台验证植入 webshell 一句话木马安装部署建议Nginx缓存漏洞 升级通告 将低版本升级为1.25.4– \public\static [目录全部禁止运行php]– \public\static_new [目录全部禁止运行php]– \public\upload [目录全部禁止运行php]– \thinkphp [锁死写入]– \extend [锁死写入]– \vendor [锁死写入]– 后台开启登录 验证码– 管理员登录密码 6 位 数组 字母 特俗符合组合– 前台关闭 游客评论、游客留言版– 开启搜索验证码 搜索时间限制二、效果展示1.部分代码代码如下示例define(PUBLIC_PATH,__DIR__./);// 定义应用目录define(ROOT_PATH,dirname(__DIR__)./);define(APP_PATH,dirname(__DIR__)./application/);define(MAC_COMM,dirname(__DIR__)./application/common/common/);define(MAC_HOME_COMM,dirname(__DIR__)./application/index/common/);define(MAC_ADMIN_COMM,dirname(__DIR__)./application/admin/common/);define(MAC_START_TIME,microtime(true));//define(BIND_MODULE,admin);define(ENTRANCE,admin);$in_filertrim($_SERVER[SCRIPT_NAME],/);if(substr($in_file,strlen($in_file)-4)!.php){$in_filesubstr($in_file,0,strpos($in_file,.php))..php;}define(IN_FILE,$in_file);if(!is_file(../application/data/install/install.lock)){header(Location: /install.php);exit;}2.效果图展示