記一次遇到ThinkPHP安全漏洞及升級修復最新版本方法

平時咱們使用較多的仍是WordPress、DEDECMS、Magento、Typecho等常規現成的CMS程序，只須要尋找和開發模板就能夠上線網站項目，利用PHP框架開發的比較少。其中，咱們應該知道在國內PHP框架中ThinkPHP是比較多的，並且有些CMS程序也是基於ThinkPHP開發的。

今天無心中打開有一個小網站是用ThinkPHP框架開發的（不清楚當初爲何選擇用框架），都沒有用到數據庫，就幾個PHP頁面，徹底是能夠用BS前端+PHP頁面就能夠實現。看到打開比較慢，就下意識的查看源代碼，看到頭部被加入加密字符。

由於比對本地的備份是沒有這些代碼的，並且從代碼中能夠看到若是這個網站在搜索引擎中被打開會被跳轉到他指定的網站。檢查其餘頁面沒有被破壞，好像就是加到首頁中的，並且能夠看到根目錄有多了幾個PHP特殊名稱的文件。

由於這個小網站沒有數據庫，也沒有特別的功能，因此我採用的辦法直接格式化服務器從新安裝WEB系統，對於THINKPHP升級最新版本的目前是5.0.24版本。這裏從官方看到幾個升級最新版本的方法。

第1、我採用的辦法

我直接刪除thinkphp文件，而後用最新版本的這個目錄替換，問到熟悉這個框架的朋友說這個是核心部分，主要問題是在這裏。而後刪除runtime文件夾裏的內容，這個緩存部分，而後網站運行後會自動從新緩存。

第2、官方升級辦法

官方建議的升級辦法有兩個，一個是直接在服務器上composer升級，還有一個就是手動對應文件升級。前者我我的不建議使用，若是結構和功能複雜的話，可能會影響系統功能，固然咱們也能夠試試，前提是熟悉且必定要備份。

第3、網友提供的在線升級

升級腳本：https://github.com/0377/thinkphp-update

這個工具是在官方論壇找到的，應該是一個網友提供的，將updateTP.php放到public目錄，而後執行這個文件會自動升級指定版本。在升級以前須要到文件中配置須要升級的版本。

總之，無論咱們用什麼辦法升級，必定要先作好備份。

本文固定連接: https://www.laozuo.org/13602.html | 老左博客