代码拉取完成,页面将自动刷新
691
修复 restore.php可能可以执行远程SQL文件的漏洞
已合并
外部发现的漏洞,在比较苛刻的条件下,可以执行远程的 SQL 文件。
通过添加 file_exists
判断,杜绝执行远程 SQL 文件。
但由于原来的导入逻辑,当文件读取失败时,即认为分卷导入完成。所以如果执行远程 SQL 文件,会直接提示导入已完成,实际并未执行。
外部发现的漏洞,在比较苛刻的条件下,可以执行远程的 SQL 文件。
通过添加 file_exists
判断,杜绝执行远程 SQL 文件。
但由于原来的导入逻辑,当文件读取失败时,即认为分卷导入完成。所以如果执行远程 SQL 文件,会直接提示导入已完成,实际并未执行。