CakePHP 2.4.1 发布
CakePHP 核心团队很高兴地宣布 CakePHP 2.4.1[1] 现已发布。 2.4.1 是 2.4 版本分支的错误修复版本。
CakePHP 核心团队很高兴地宣布 CakePHP 2.4.1[1] 现已发布。 2.4.1 是 2.4 版本分支的错误修复版本。 您将看到的一小部分更改如下所示
- 改进的 API 文档以及从 API 到书籍的链接。
- 加载 LC_TIME 文件时不再出现通知错误。
- TreeBehavior::generateTreeList() 现在包含模型 actsAs 属性中定义的范围。
- Shell 命令添加了对 readline 的支持。如果您的环境支持 readline,箭头键将不再输出转义序列。
- FormHelper::input() 现在将使用标签键中定义的属性。
- 改进了词形变化支持。
- 改进了 CakeTime::timeAgoInWords() 的性能。
- 修正了行为回调方法签名。如果您使用的是 PHP5.4,则可能需要更新行为的方法签名以解决任何 E_STRICT 错误。
- CROSS JOIN 现在可以正常工作了。
- SqlServer::value() 现在可以正确处理 NULL 值。
- 使用 FileEngine 且没有前缀的 Cache::clearGroup() 现在按预期运行。
- CakeEmail 现在会引用包含非字母数字字符且尚未编码的电子邮件别名。
- 简化了电话号码验证,以修复将有效区号识别为无效的错误。
安全漏洞
在 2.3.8 中,修复了 AssetDispatcher 中的一个安全问题。为了公开透明,我们提供了该问题的更详细描述。通过精心制作的 URL,AssetDispatcher 允许任意文件访问。成功攻击需要至少使用一个主题或插件。示例 URL 如下所示
http://example.com/DebugKit/%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e./etc/passwd
AssetDispatcher 在解码 URL 之前错误地检查了目录遍历。我们要感谢 Mitsui Bussan Secure Directions, Inc 的 Takeshi Terada 将此问题告知我们。
与往常一样,我们感谢所有通过提交、工单、文档编辑以及其他方式为框架做出贡献的人。没有您,就不会有 CakePHP。下载打包的版本 [2]。