部署方法：要求PHP7.0+ MySQL 5.6+

确保PHP启用以下扩展：mysqli, mbstring, json

导入：driftbottle.sql到数据库内 修改includes/config.php 文件
使用：admin/test_admin.php 重置管理员密码，即可完成

把所有配置功能都添加到后台了，可以总结在后台修改，新增了封号功能

功能变更

• 取消使用伪静态功能
  
  • 修改nginx.htaccess配置文件，注释掉伪静态转发规则
  • 清空.htaccess文件，彻底取消Apache伪静态规则
  • 修改前端JavaScript API调用，从使用伪静态路径格式改为传统的GET参数格式
  • 增强前端代码错误处理和调试功能，提高系统稳定性
  • 改进表单提交验证，增加防护检查机制

问题修复

• 修复注册页面中表单ID不匹配问题，确保输入验证正确工作
• 修复API调用路径，将所有api.php/endpoint格式的调用改为api.php?action=endpoint格式
• 增加错误日志和调试信息，提供更详细的问题排查支持
• 增强JavaScript代码的健壮性，添加必要的错误捕获和空值检查

版本 (v1.0.1) - 2025年4月20日
新增功能

• 增强了sanitizeInput函数，使用更严格的参数
• 添加了专门的HTML过滤函数sanitizeHtml，允许基本HTML标签但过滤危险内容
• 添加了URL过滤函数sanitizeUrl
• 添加了SQL过滤函数sanitizeSql
• 创建了完整的安全中间件类Security，提供了
  
  • 内容安全策略（CSP）设置
  • 安全相关的HTTP响应头
  • 会话固定攻击防护
  • CSRF令牌生成和验证
  • 输入验证和过滤
  • 恶意输入检测
• 在API处理流程中增加了恶意输入检测
• 为常用API端点增加了详细的验证规则
• 前端添加了CSRF令牌处理工具以及获取CSRF令牌的API端点
• 增强了 Security 类：
  
  • 扩展了恶意模式检测，添加更多XSS和SQL注入模式
  • 添加了更严格的HTML净化函数 purifyHtml
  • 添加了JSON数据过滤和安全输出功能
• 改进了基本过滤函数：
  
  • 为所有过滤函数添加了类型检查
  • 增强了URL过滤，阻止更多危险协议
  • 集成了高级HTML过滤
• 添加了专门的验证器类 Validator：
  
  • 提供了对用户名、密码、URL、电子邮件等的高级验证
  • 实现了文本和HTML内容的验证和长度检查
  • 添加了密码强度评估
• 优化了API处理：
  
  • 使用安全输出JSON函数
  • 记录潜在的攻击尝试
  • 改进了CORS和预检请求处理

• 管理员可以控制账号是否允许登陆
• 已运行用户使用update_user_status.sql新增数据表

项目链接：https://github.com/kggzs/Driftbottle

分享到：

赞 (0) 打赏