如果本文对您有帮助,或者节约了您的时间,欢迎打赏瓶饮料,建立下友谊关系。
本博客不欢迎:各种镜像采集行为。请尊重原创文章内容,转载请保留链接信息。

thinkcmf默认情况下,自带了两个模板,一个是用于前台的模板simpleboot3,另外一个是用于后台的模板admin_simpleboot3。在最开始的文章中,苏南大叔表述了:如果服务器设置不当的话,会存在导致页面逻辑丢失的隐患。而且这些不可被用户访问的模板页面,却混杂着必须能够被用户访问的静态资源文件(js/css/img),所以,苏南大叔觉得这些模板文件的位置不是很合适。thinkcmf的搭建经验文章:https://newsn.net/say/nginx-thinkcmf.html

官方解决方案

官方的解决方案也是蛮简单的,官方在themes文件夹下面增加了个.htacess文件,用于防止非法访问模板文件。但是这个设置能够ok的前提是使用apache服务器。

thinkcmf高级应用之自定义模板位置 - 02
thinkcmf高级应用之自定义模板位置(图7-1)

but,大多数人使用的是nginx服务器,官方给出的nginx的配置范例中,却没有解决这个问题。也就是说,如果您使用的是官方推荐的nginx配置的话,很有可能存在着,模板文件被非法访问的问题哦。

thinkcmf高级应用之自定义模板位置 - 01
thinkcmf高级应用之自定义模板位置(图7-2)

当然,苏南大叔也给出了个治标不治本的nginx方案。

server {
    ## 这里请替换为原来的配置
    location ~* ^\/upload\/.+\.(html|php|json)$ {
        return 404;
    }
    location ~* ^\/plugins\/.+\.(html|php|json)$ {
        return 404;
    }
    location ~* ^\/themes\/.+\.(html|php|json)$ {
        return 404;
    }
}

当然,如果把这些html文件的后缀都改成php。也许是个解决方案。不过,苏南大叔不喜欢这个方案,所以没有实验。thinkphp官方推荐的后缀是tpl。额,苏南大叔觉得tpl后缀也不是很好,毕竟不是标准可识别的文件,不确定性较多。您说对不对?

把themes目录移出可访问范围

大家都知道thinkcmf的可访问范围是/public/文件夹,理论上来说,这里只有一个入口文件是php。其它的所有的类库都是逃离这个/public/目录的。也就是说,正常情况下来说,要通过地址栏访问到类库中的php文件,是不可能存在的事情。

顺着这个思路来说,苏南大叔把/public/themes/目录移出/public/目录即可,至于/public/themes/下面的必须能够被访问的静态资源文件,苏南大叔给移动到了/public/static/目录下。这样的话,thinkcmf官方的皮肤组合,被苏南大叔一分为二,划分的标准就是可访问性。

当然,关于这些不可被用户直接访问的文件,苏南大叔认为:从运维角度上来说,还是有必要再次划分的,关于这些themes文件里面的json文件,存在这变数。在thinkcmf的系统原理里面,这些json文件是会读到数据库里面的,并且相应改动也产生在数据库里面。所以,这些json仅仅是个描述文件,并非最终的数据储存地,最终数据还是储存在数据库里面的。

最终,苏南大叔把/themes/文件夹放在和/public/文件夹同级的位置。同时,模仿thinkcmf的官方模板,新建了一套新的前台模板td,一套新的后台模板admin

thinkcmf高级应用之自定义模板位置 - 03
thinkcmf高级应用之自定义模板位置(图7-3)

配置config.php

thinkcmf的config配置中,要注意如下几个设置。这几个设置,见名思义即可,非常简单。

'cmf_theme_path'          => '../themes/',
'cmf_default_theme'       => 'td',
'cmf_admin_theme_path'    => '../themes/',
'cmf_admin_default_theme' => 'admin',

thinkcmf高级应用之自定义模板位置 - 04
thinkcmf高级应用之自定义模板位置(图7-4)

在修改这几个设置的时候,一定要注意一点,那就是config配置的相互覆盖关系。比如/data/conf/config.php就能覆盖/app/cofig.php中的设置。所以,这几个参数的设置位置,需要想好之后,再改写哦。

修复后台模板识别功能

移动模板位置后,后台的模板识别功能,就挂了。完全不能识别新的模板,更不能识别已知模板下面的json配置文件了。相关的后台操作经验教程,可以参考文末的相关链接部分。

这里,苏南大叔需要修复这个文件:/app/admin/model/ThemeModel.php。主要是这个文件里面的themes/字样,这个都要替换成变量。下图中是个范例。相关的代码都替换后,还需要修复一个函数updateThemeFiles()

新增了一个方法getBaseFolder(),代码如下:

public function getBaseFolder(){
  return config("cmf_theme_path");
}

然后把这个文件中的themes/字样(有很多处哦,注意查找所有的地方哦),都换成这个方法的调用$this->getBaseFolder()

thinkcmf高级应用之自定义模板位置 - 05
thinkcmf高级应用之自定义模板位置(图7-5)

在方法updateThemeFiles()中,原版的语句是这样的:

$file       = preg_replace('/^themes\/' . $theme . '\//', '', $tplFile);

苏南大叔修改版是这样的:

$file       = str_replace($this->getBaseFolder().'/' . $theme . '/', '', $tplFile);

thinkcmf高级应用之自定义模板位置 - 06
thinkcmf高级应用之自定义模板位置(图7-6)

修复皮肤模板中的静态资源访问地址

苏南大叔移动了模板位置后,原版的静态资源的描述常量__TMPL__已经不能满足要求了,所以,苏南大叔改用__STATIC__描述这些静态资源文件的位置。

thinkcmf高级应用之自定义模板位置 - 07
thinkcmf高级应用之自定义模板位置(图7-7)

相关链接

结论

上述这几步设置之后,就可以完全不必担心,模板的php逻辑会暴露在互联网上了。好开心不是?也不必担心:运维人员会因为不懂代码结构,而设置nginx配置错误而导致遗留漏洞。

更多由苏南大叔带来的thinkcmf的经验文章,请点击这里查看。https://newsn.net/tag/thinkcmf/

 【php】秘籍文章入口,仅传授于有缘之人   php    theme

本站的忠实读者小伙伴,正在阅读下面这些文章:

欢迎转载传播本篇原创文章,转载请保留链接及作者信息。
欢迎指正文字或逻辑错误,将会择优在文末列出您的信息。
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享。
转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议。
未经许可,规模化镜像抄袭本站内容的行为,将会根据有关法律法规进行维权。
程序如此灵动~》下所有原创文章,如被用于商业用途,请您按规定支付稿费。

苏南大叔需要你的支持

感谢您的打赏,让我更有动力,将更多精彩教程文章,呈现给大家!谢谢!