关于近期阿里云推送的 ThinkPHP 缓存设计缺陷问题的公告

近期不断有用户收到阿里云的关于 ThinkPHP 缓存缺陷漏洞（参考： https://xianzhi.aliyun.com/forum/read/1973.html ）推送，该漏洞并非正规的先知漏洞而仅仅是一个社区发帖，却被阿里云官方两次大范围的推送（意图似乎很明显~），这正常么？阿里云是没有热点事件可以营销了么？

官方再次申明，框架设计之初已经考虑到了这个问题，无论 3.2 还是 5.0 版本都提供了解决方案，所以不存在什么文中所述漏洞，不要造成无谓的恐慌。ThinkPHP5.0 的手册和快速入门均有提及如何部署，就算你没有按照官方的建议部署，攻击者也需要猜测你的缓存 Key 才能实施攻击。

如果你仍然不放心，可以采用下面的解决方案：

• TP3.2 设置：DATA_CACHE_KEY 参数
• TP5 按照官方的部署建议做好目录权限，除公共目录绝对不要让外部可访问
• TP5 在缓存目录可以对外访问的情况下也可以设置缓存前缀参数（ prefix ）

最后希望阿里云以后在播报漏洞的时候严谨一点，在一个官方尚未确认的前提下就公告漏洞而且大范围推送似乎并不合适。先知社区和阿里云的衔接流程也需要更加规范。

ThinkPHP 官方团队