opencart以及国内的其他基于opencart二次开发的网站,
\admin\view\template\setting\setting_form.tpl
所有模版文件在网址直接访问,默认是浏览器下载,晕,岂不是所有tpl文件都能被任意下载(恶意的可以直接通过form表单猜到数据库表信息),而且这个是任意的,并不是登录后才能查看,游客都可以。
我现在解决办法如下:view目录新建.htaccess
<Files "*.tpl">
Require all denied
</Files>
搞定,现在浏览器直接输入tpl地址,就不会被下载了。
其他同理controller目录新建.htaccess
<Files "*.php">
Require all denied
</Files>