- 综合排序
- 最热优先
- 最新优先
- 来自专栏桑先生的专栏
FastAdmin使用——入口安全篇
继上次安装完Fastadmin,也是过去了一段时间.今天继续研究Fastadmin. 一般在安装完Fastadmin之后.首页都会提示你 一般所有的网站都会有一个后台入口文件.像WordPress.在博客后面添加wp-login.php就可以看到登录后台的界面.像宝塔面板也是提供了修改登录界面的设置 针对Fastadmin.官方也是提供了解决办法 分享隐藏后台登录入口地址的方法 首先 修改application/config.php中deny_module_list的值,其中默认已经有common ,我们添加admin,改成['common', 'admin'] 修改这里默认admin文件下所有文件都不能访问 然后修改项目public目录下的admin.php,这个文件为后台入口文件,将其改名为yunpeng.php
3.9K10发布于 2019-12-17 - 来自专栏传统基础应用开发专栏-不限开发语言
FastAdmin框架超级管理员密码重置与常规admin安全机制解析-卓伊凡|大东家
FastAdmin框架超级管理员密码重置与常规admin安全机制解析-卓伊凡|大东家我们可以看到admin账户是不允许直接修改的,这也是目前fastadmin 框架不允许的,那么如何处理一、FastAdmin 超级管理员密码重置方法当FastAdmin的超级管理员密码忘记或需要重置时,可以通过以下几种方法进行操作:方法一:通过数据库直接修改(推荐)登录数据库管理工具(如phpMyAdmin)找到管理员表(默认表名为 方法三:通过找回密码功能(需配置邮箱)确保系统已正确配置邮件发送设置访问登录页面点击”忘记密码”输入管理员邮箱获取重置链接通过邮件中的链接设置新密码二、FastAdmin的密码安全机制FastAdmin 对管理员密码(特别是超级管理员)有以下安全机制:不可逆加密存储:密码使用加盐哈希算法存储数据库中的密码字段无法直接逆向解密修改限制:超级管理员不能直接在后台修改自己的密码需要验证原密码或其他安全验证方式登录保护 :至少12个字符包含大小写字母、数字和特殊符号避免使用常见词汇或连续字符多因素认证:如条件允许,启用短信/邮箱验证登录限制:限制登录IP范围设置登录失败锁定策略后台入口隐藏:修改默认admin入口路径为随机字符串禁用不必要的管理员账户操作审计
1.5K10编辑于 2025-07-18 - 来自专栏小孟开发笔记
FastAdmin控制管理员只显示自己添加的数据
FastAdmin从1.0.0.20170915_beta版本开始添加了一项新的功能,可以单独控制某个控制器只显示当前管理员自己添加的数据,如果你的FastAdmin版本低于该版本,则没有该功能,快升级最新版体验吧 dataLimitField = 'adminid'; }复制 自定义权限数据 如果默认的权限不符合你的要求,你可以在当前控制器自定义一个getDataLimitAdminIds的方法,该方法返回可以查看管理员数据的管理员 protected function getDataLimitAdminIds(){ $adminIds = [];//你的自定义可以查看管理员数据的管理员ID的集合 return $adminIds 如果你重写了index/add/edit/del等方法,需要你自己使用adminIds = this->getDataLimitAdminIds();来获取获取数据限制的管理员ID集合。 未经允许不得转载:肥猫博客 » FastAdmin控制管理员只显示自己添加的数据
72510编辑于 2024-01-27 - 来自专栏传统基础应用开发专栏-不限开发语言
FastAdmin后台登录地址变更原理与手动修改方法-后台入口机制原理解析-优雅草卓伊凡
FastAdmin后台登录地址变更原理与手动修改方法-后台入口机制原理解析-优雅草卓伊凡现在逐渐对fastadmin的了解逐渐深入,其实在某些意义上来讲优雅草卓伊凡认为 thinkphp是一款非常优秀的框架了 ,在这方面借鉴了谷歌google的laravel框架机制,因为此前优雅草大部分产品都是建立在谷歌laravel框架机制上的,莫名的熟悉感。 后台登录地址生成原理FastAdmin的后台登录地址是由以下机制决定的:安装时随机生成:在FastAdmin安装过程中,系统会自动生成一个随机的后台入口文件名这个随机名称存储在数据库fa_config表的 'admin_url' => 'newadmin', // 新入口文件名(不带.php)];执行重命名和清除缓存(同方法一步骤3-4)地址变更后的注意事项更新所有书签和链接:更新团队成员保存的后台登录书签检查所有自动化脚本中的登录 URL安全建议:不要使用常见名称如admin.php、manage.php等建议定期变更后台入口文件名可配合IP白名单进一步增强安全性验证修改是否成功:访问旧地址应返回404新地址应能正常显示登录页面原理深入说明路由机制
99510编辑于 2025-07-18 - 来自专栏程序源代码
基于ThinkPHP5和Bootstrap的极速后台开发框架
概述 FastAdmin是一款基于ThinkPHP5+Bootstrap的极速后台开发框架。 特性 基于Auth验证的权限管理系统 支持无限级父子级权限继承,父级的管理员可任意增删改子级管理员及权限设置 支持单管理员多角色 支持管理子级数据或个人数据 强大的一键生成功能 一键生成CRUD,包括控制器 使用命令行安装请提前准备好Git、Node.js、Composer、Bower环境 克隆FastAdmin到你本地 git clone https://gitee.com/karson/fastadmin.git less //Less资源目录 │ └── uploads //上传文件目录 │ ├── index.php //应用入口主文件 │ ├── install.php //FastAdmin安装引导 │ ├── admin.php //后台入口文件,强烈建议修改 │ ├── robots.txt
3.3K50发布于 2019-07-05 - 来自专栏传统基础应用开发专栏-不限开发语言
FastAdmin系统框架通用操作平滑迁移到新服务器的详细步骤-优雅草卓伊凡
/to/fastadmin2. database' => '新数据库名','username' => '新数据库用户名','password' => '新数据库密码',因为我们是迁移的,而且并且我们的情况就是 2情况我在想版本是不是太老了4. 功能测试访问前台页面:http://新域名/访问后台页面:http://新域名/admin使用原管理员账号登录测试测试关键功能:内容管理(CRUD操作)文件上传功能插件功能(如果有安装插件)3. 文件权限问题确保运行PHP的用户(通常是www)对项目目录有读写权限chown -R www:www /www/wwwroot/新网站目录/4. 插件不工作重新安装或更新插件检查插件目录权限查看runtime/log中的错误日志五、最终优化禁用安装入口:mv install.php install.php.bak更新配置:检查config/app.php
62310编辑于 2025-07-18 - 来自专栏开源项目部署
用轻量云服务器部署一个超多人在用的php框架
本文将详细介绍如何在轻量云服务器上部署FastAdmin,帮助你快速搭建一个高效、稳定的后台管理系统。一, 什么是FastAdmin? FastAdmin是一款基于ThinkPHP 5.1和Bootstrap 4的极速后台开发框架。它不仅提供了丰富的内置功能,还支持强大的插件扩展,使得开发者可以快速构建复杂的后台管理系统。 以下是FastAdmin的主要特性:基于Auth验证的权限管理系统:支持无限级父子级权限继承,父级管理员可以任意增删改子级管理员及权限设置。 支持单管理员多角色:一个管理员可以拥有多个角色,灵活分配权限。支持管理子级数据或个人数据:管理员可以管理自己的数据,也可以管理子级管理员的数据。 quick_start.sh && sudo bash quick_start.sh2.安装成功后就会出现登录地址和账号密码3.在浏览器里访问面板地址(如果打不开就是防火墙的端口没开,可以去防火墙那开启端口)4.
89710编辑于 2024-11-12 - 来自专栏程序员的碎碎念
Fastadmin了解一下??
同时也支持调整参数的位置来调整最后生成的位置,另外请注意 {:build_toolbar()}还会根据当前管理员的权限判断按钮是否显示,例如你使用 {:build_toolbar('refresh,add ')},如果当前管理员没有添加的权限,添加按钮仍然不会显示 。 启用导入请参考:https://forum.fastadmin.net/d/540 4.自定义搜索 FastAdmin中的 Bootstrap-table表格的自定义搜索功能是非常强大的,我们可以按需要修改来实现自己的搜索功能 8.标志和图片 FastAdmin封装了许多常用的方法,我们可以快速的调用即可。 排序按钮只在表中存在 weigh字段时才会出现,编辑按钮和删除按钮会根据管理员所拥有的权限进行按需显示。
6.2K20发布于 2018-08-13 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究
摘要近年来,网络钓鱼已超越漏洞利用与弱口令等传统手段,成为勒索软件攻击的首要初始入口。 本文系统分析PhaaS生态的技术架构、AitM攻击链的实施细节及其对现有MFA机制的颠覆性影响,并基于实证提出多层次防御框架。 传统上,攻击者主要通过未修补的远程代码执行(RCE)漏洞(如ProxyLogon、Log4Shell)或暴力破解弱密码进入内网。然而,随着端点防护与补丁管理的普及,此类入口的成本与失败率显著上升。 2025年SpyCloud报告显示,钓鱼首次超越其他向量,成为勒索软件最主要的初始入口。 2.3 AitM攻击原理与MFA绕过机制AitM攻击的核心在于透明代理。
35010编辑于 2025-12-12 - 来自专栏Devops专栏
4.ConcurrentHashMap 锁分段机制
4.ConcurrentHashMap 锁分段机制 ConcurrentHashMap - Java 5.0 在 java.util.concurrent 包中提供了多种并发容器类来改进同步容器的性能。 内部采用“锁分段”机制替代 Hashtable 的独占锁。进而提高性能。 new Thread(ht).start(); } } } 演示如下: image-20201101235312600 ConcurrentHashMap 锁分段机制
75820编辑于 2022-03-23 - 来自专栏技术猫屋
fastadmin后台低权限拿 shell方法
目录 目录 0x01 前言 0x02 fastadmin 的鉴权流程 0x03 漏洞分析 0x04 漏洞修复 0x05 总结 0x01 前言 前段时间续师傅又给我指出了fastadmin 后台低权限拿 database(),1,1)) in (0x66),sleep(2),1)%23 成功注入 同理,利用时间盲注,可以注入出用户名和密码,具体语句可以自行查找相关的实际盲注语句,这里不再赘述 但是,我们知道当管理员密码复杂的时候 ,MD5 不一定能够破解,况且 fastadmin 密码是加盐的: 那么这个注入岂不是很鸡肋? } } 从keeplogin中获取信息,然后分割,将其分别赋值给id, keeptime, expiretime, key变量,若这些值大于当前时间并且满足以下条件: 该id是否为管理员 -b16b-4f27-9648-d60fd0e9b464-->1fe1e4fc538e66089c4e24ed3b8e4c8c keeplogin-->1|86400|1601902475|1fe1e4fc538e66089c4e24ed3b8e4c8c
3.8K50编辑于 2023-01-03 - 来自专栏桑先生的专栏
FastAdmin使用——急速搭建篇
FastAdmin基于tp5以及其他前端组件的二次开发的框架,十分简洁高效,根据官方文档进行下载安装即可。 下载官方安装包之后,将入口文件定位到文件夹的public目录下,打开网页进入就会进入这个安装界面。 文末附上官网地址: https://www.fastadmin.net ---- 后续补充: 今天下午在研究Fastadmin时.意外发现在点击首页去前台之后再点击登录会报一个404页面丢失的错误.这里的话
1.9K10发布于 2019-12-17 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究
摘要近年来,攻击者持续利用文件格式特性规避传统安全检测机制。 本文系统剖析此攻击链的技术实现细节,重点揭示SVG在现代邮件安全体系中的检测盲区、CHM文件的代码执行能力及其与HTML Application(HTA)脚本宿主的协同滥用机制。 4 分层防御策略4.1 邮件层:强制隔离高风险格式建议在邮件网关配置中显式阻止或隔离以下扩展名:.svg, .chm, .hta, .js, .vbs, .wsf密码保护的.zip, .rar, .7z @#$%^&*()_+]{4,12})',r'пароль[:\s]*([a-zA-Z0-9!@#$%^&*()_+]{4,12})',r'clave[:\s]*([a-zA-Z0-9! 未来防御体系需建立动态文件风险评估机制,将“无害”格式纳入持续监控范畴,方能有效应对不断演化的投递技术。安全的本质不在于信任格式,而在于验证行为。编辑:芦笛(公共互联网反网络钓鱼工作组)
29710编辑于 2025-12-12 - 来自专栏葡萄城控件技术团队
Webpack4干货分享(一):入口、输入和ES6模块
今天我们会开始一个 Webpack 4的入门教程。我们会以Webpack的基本概念开始,随着教程逐渐深入。这一次,我们将学习用ES6 modules进行模块化的基础知识。 Webpack 4提供了默认配置,我们会逐步学习。让我们开始吧! Webpack 4教程开始 - 且慢,什么是Webpack? Webpack的基本概念 从版本4开始,Webpack不需要任何配置也可使用。它有一组默认值。如果你想要创建一个配置文件,你可将它命名为webpack.config.js。 你可以有超过一个的入口起点,但对于单页应用(single page applications),它通常只有一个入口。 Output output是用来配置Webpack把你的包输出到哪儿的。 多个入口起点 不需要任何配置,就可以实现上面介绍的功能。如果你想做得更多,现在就是时候创建配置文件了。 entries 配置文件里的入口属性,不一定必须是字符串。
70900发布于 2018-09-04 - 来自专栏赛博回忆录
FastAdmin最新RCE漏洞复现
0x00 前言 前几天FastAdmin爆出存在低权限用户有条件RCE的漏洞,比较奇怪的是好像一直没有什么人复现。昨晚小盘师傅复现了该漏洞后给我投稿,这里感谢小盘师傅的支持。 0x01 漏洞原理 当开启了分片上传功能时,fastadmin 会根据传入的 chunkid ,结合硬编码后缀来命名和保存文件,攻击者可预测文件上传路径;此后攻击者提交 "分片合并" 请求时,fastadmin application/extra/upload.php 下的chunking 项为 true 可使用 application/index/controller/Ajax 下的 upload() 方法作为入口点 根据 tp5 的路由,访问该入口点的 url 为 index.php?
6.1K10编辑于 2023-07-24 - 来自专栏前端人人
React多页面应用4(webpack自动化生成多入口页面)
多页面应用2(处理CSS及图片,引入postCSS及图片处理等)----2017.12.29 3.React多页面应用3(webpack性能提升,包括打包性能、提取公共包等)----2017.12.30 4. React多页面应用4(webpack自动化生成多入口页面)----2017.12.31 5.React多页面应用5(webpack生产环境配置,包括压缩js代码,图片转码等)----2018.01.01 2.接下来 我们要实现 自动化 生成 , webpack 的入口文件js,和html文件 在这之前我们需要写几个公共方法! 4.修改 package.json "entry": "node config/entry/entryBuild.js", ? 我们现在 删除 entryBuild 文件夹 ? 10.改造webpack.base.conf.js 统一入口文件 const entry = require(".
2K50发布于 2018-04-11 - 来自专栏EdisonTalk
.NET Core多线程 (4) 锁机制
i.ToString(), DateTime.Now); } finally { if (lockTake) { Monitor.Exit(lockMe); } } (4) PEB 进程环境块 TEB 线程环境块 TLS 线程本地存储(Thread Local Storage),取决于一共有多少个DataSlot (4)应用场景 用来做数据库连接池:DB连接池 基于 ThreadLocal EnterWriteLock() 需要等待所有的reader或writer锁结束,才能开始 (4)CountdownEvent 这个锁可以实现类似MapReduce的效果。 它是如何实现的? (3)WinDbg探究 Release模式 查看memory中的共享变量的值 CPU寄存器 查看共享变量的值 (4)解决方案 使用CancellationToken做取消 性能会相对较低 将共享变量 改为 易变结构,比如:private bool _shouldStop 改为 private volatile bool _shouldStop 小结 本篇,我们复习了锁机制相关的知识点
73740编辑于 2023-08-13 - 来自专栏TECH flower
图解resilience4j容错机制
Resilience4j提供高阶函数(decorators)来增强任何功能接口、lambda表达式或方法引用,包括断路器、速率限制器、重试或舱壁。 有了Resilience4j,你不必全力以赴,你可以选择你需要的。 https://resilience4j.readme.io/docs/getting-started 概览 本文将介绍resilience4j中的四种容错机制,不过鉴于容错机制原理的通用性,后文所介绍的这几种容错机制也可以脱离 resilience4j而独立存在(你完全可以自己编码实现它们或者采用其他类似的第三方库,如Netflix Hystrix)。 总结 本文介绍了常用的几种容错机制,与其说是resilience4j中的容错机制不如直接把resilience4j去掉,因为可以看到这些机制原理并不只来源于某个库或只与某个特定库有关,它更是一种设计理念
1.5K10发布于 2020-08-06 - 来自专栏进阶高级前端工程师
React源码分析(二)渲染机制4
jsx语法转换后,会通过creatElement或jsx的api转换为React element作为ReactDom.render()的第一个参数进行渲染。
34940编辑于 2023-01-06 - 来自专栏好好学习,天天向上
SpringCloud学习笔记(4):Hystrix容错机制
4.创建application.yml: server: port: 8083 spring: application: name: sc-consumer-hystrix-ribbon 4.创建调用提供者服务的Controller: package feign.controller; import org.springframework.beans.factory.annotation.Autowired
55020发布于 2020-10-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号