我使用smarty作为我的免费网络日志服务模板,用户可以编辑模板。 这对我的服务器有危险吗? 他们可以通过聪明的代码运行shell等吗?
答案 0 :(得分:0)
一切都取决于您允许用户以及您拥有的代码。例如,如果你有一些插件,用户可以在他们的代码中使用它们,如果插件显示一些不应该为所有用户显示的数据,这也可能是一个巨大的问题。
用户还可以将JavaScript放入模板文件中,因此您还应该考虑从生成的输出中删除JavaScript。
你还应该将你的Smarty更新到最新版本3.1.18 - 因为删除了一些错误,其中一些可能与安全性有关。在3.1 Smarty中,如果您不在代码中使用SmartyBC,则无法使用{php}代码使用PHP代码,但当然最好删除{php}以防万一