zblogphp1.5.2開(kāi)發者遷移指南(nán)

自(zì)此版本開(kāi)始，加強安全相(xiàng)關功能(néng)。

登錄相(xiàng)關

此版本不再使用 password Cookie，用戶密碼不再直接暴露。增加token Cookie，并且強制置于 httpOnly 模式。因此：

1. 不再允許前端設置Cookie登錄，也不再允許在前端讀(dú)取密碼相(xiàng)關。

2. 前端模闆注銷鏈接需要更新。

使用setcookie做模拟登錄的開(kāi)發者，請使用 SetLoginCookie($user, $cookieTime) 函數，傳入需要登錄的用戶。如應用需要兼容舊(jiù)版本，可使用function_exists做判斷。

CSRF相(xiàng)關

本版本對所有會(huì)造成副作用的鏈接，包括注銷、發表文章等通(tōng)過cmd.php處理的鏈接。因此，如果您的應用有跳轉到(dào)這些鏈接，或提交數據，請同時提交一(yī)個(gè) token 參數。另外，您的應用如果有副作用，也務必需要加入CSRF Token。

可參考：https://github.com/zblogcn/zblogphp/commit/e84c581bb0d6f4fd9026d7fc319d4a80eeaab2eb

通(tōng)過GET方法提交，如果您的目标地址是cmd.php，那麽您可以使用以下(xià)函數：

<?php echo BuildSafeCmdURL('act=TagPst'); ?>

如果不是，那麽您也可以直接

<?php echo BuildSafeURL('main.php'); ?>

通(tōng)過POST方法提交，您可以在form表單内加入

echo '<input type="hidden" name="csrfToken" value="' . $zbp->GetCSRFToken() . '">';

如果需要兼容舊(jiù)版Z-BlogPHP，可以使用

<?php if (function_exists('CheckIsRefererValid')) {echo '<input type="hidden" name="csrfToken" value="' . $zbp->GetCSRFToken() . '">';}?>

如果您想在您的應用内集成CSRF Token檢測（這将在未來成為(wèi)上(shàng)架應用中心的必需要求），以及在增強安全模式下(xià)進行來源檢測，您可以直接使用以下(xià)函數

CheckIsRefererValid();

如果需要兼容舊(jiù)版Z-BlogPHP，可以使用

if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

參考：https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660

當然，如果您對報(bào)錯(cuò)有更多(duō)的要求，$zbp→VerifyCSRFToken() 也許更符合您的心意。