新增前台会员邮箱密码找回
不存在的页面现在默认返回404(V3.1.6版本因一些原因该功能未实装)
UEditor编辑器替换为UEditor-plus gitee地址为:https://gitee.com/modstart-lib/ueditor-plus
3.2.0版本开始mysql数据导入文件:static/backup/sql/pbootcms_v316.sql 中的ay_content表已默认添加了ay_content_unique索引
2022年8月11日更新(安全性修复)
去掉eval函数执行php代码,该函数可能会导致前台php代码可被注入。该函数为模板渲染核心业务函数,在提供非常大的开发自由度的同时,也会伴随安全风险,受影响的标签为if标签,此次改动为核心功能改动,对于有第三方模板和二开的用户影响未知,请提前备份好网站数据,根据实际情况进行升级。从V3.2.0开始,if标签只支持'>'、'>='、'!='、'=='、'<='、'<'、'&&'、'||'、'%'等符号,不再支持其他php函数和比较符,收紧标签规则也是以系统安全为前提,不便之处非常抱歉。
2022年8月12日更新
1.优化了if标签解析逻辑,新增可支持运算符%,部分用户更新V3.2.0后首页404原因为使用了二级目录,原先的逻辑为不存在的页面会跳转至首页,经查可能会被字符串注入,可设置为根目录解决此问题。
2.ueditor-plus默认高度设置为了500(初始高度320),提升可读性。
近期所有改动都是以系统安全性为第一前提,也收到了一些用户的反馈,造成不小的影响。用户开发自由度和系统安全性一直都是两者不可兼得的情况。开发自由度高的同时也会给网络黑客可乘之机,入侵系统造成不可估量的后果。在此PbootCMS感谢各位用户的支持和理解
如发现系统漏洞或sql注入请及时联系群管理员知更鸟,附上详细过程和具体触发情景(重要)。
有新功能或者优化意见可邮件发送至知更鸟邮箱,会酌情根据实际情况进行开发和迭代。
感谢各位用户一直以来对PbootCMS的支持。
上一篇:关于近期被传收购一事澄清公告