### 2018 年 12 月 9 日 發布 >[danger]### 本次版本更新主要涉及一個安全更新，由于框架對控制器名沒有進行足夠的檢測會導致在沒有開啟強制路由的情況下可能的`getshell`漏洞，受影響的版本包括`5.0`和`5.1`版本，推薦盡快更新到最新版本。 ## 更新框架修復 如果你使用`composer`安裝，并且一直保持最新版本使用的話，使用下面的指令更新到最新版本即可 ``` composer update topthink/framework ``` 如果你使用了`git`版本庫安裝，也請及時更新你所用的倉庫版本。 如果各種原因暫時無法更新到最新版本（早期版本升級到最新版本可能存在兼容性問題，請首先參考官方手冊的升級指導章節），可以參考下面的方式進行手動修正。 ## 手動修復 ### `5.0`版本 在`think\App`類的`module`方法的獲取控制器的代碼后面加上 ``` if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); } ``` ### `5.1`版本 在`think\route\dispatch\Url`類的`parseUrl`方法，解析控制器后加上 ``` if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); } ``` ## `V5.1.31`主要更新日志 * 改進`field`方法 * 改進`count`方法返回類型 * `download`函數增加在瀏覽器中顯示文件功能 * 修正多對多模型的中間表數據寫入 * 改進`sqlsrv`驅動支持多個Schemas模式查詢 * 統一助手函數與\think\response\Download函數文件過期時間 * 完善關聯模型的`save`方法 增加`make`方法僅創建對象不保存 * 修改條件表達式對靜態變量的支持 * 修正控制器名獲取 * 改進view方法的`field`解析 ## `V5.0.23`主要更新日志 * Query支持調用模型的查詢范圍 * 聚合查詢字段支持`DISTINCT ` * 改進閉包驗證的參數 * 多對多關聯支持指定中間表數據名稱 * after/before驗證支持指定字段驗證 * 改進多對多關聯 * 改進驗證類 * 增加`afterWith`和`beforeWith`驗證規則 用于比較日期字段 * 完善規則提示 * 改進斷線重連 * 修正軟刪除的`destroy`方法 * 修復模型的`save`方法當`data`變量為空 數據不驗證 * 模型增加`replace`方法 * MorphOne 增加 make 方法創建關聯對象實例 * 改進`count`方法返回值類型 * 改進聚合查詢方法的正則判斷 * 改進`sqlsrv`驅動 * 完善關聯的`save`方法 * 修正控制器名獲取