中文原文請參考:
另一個安全更新:LifeType 1.0.6 釋出英文原文請參考:
Another security upgrade: Lifetype 1.0.6 released在 1.0.5 釋出後,開發團隊發現一個另一個尚未修補的 SQL Injection 安全性問題,因此我們立即修復這個安全性問題,並釋出修正後的新版本。受影響的只有幾個檔案,因此我們希望這次的昇級不會造成大多的麻煩。請繼續閱讀來取得更多和昇級有關的資訊。
和之前相同的,你可以從 Sourceforge.net 來取得 .ZIP, .TAR.GZ 和 .TAG.BZ2 等格式的完整版本。
lifetype-1.0.6.ziplifetype-1.0.6.tar.gzlifetype-1.0.6.tar.bz2請注意,如果你是從 1.0.x 版升級到這個版本,你並不需要執行 wizard.php 來作任何資料庫變更的動作。你只需要保留你的 /config 目錄理的檔案,並將其他檔案用 1.0.5 的程式覆蓋過去即可。如果你有任何自行修改的程式需要保留,請注意你在升級過程也必須一併保留這些檔案。否則可能造成升級後不正常的運作。
另外我們也提供升級的版本給 1.0.5 版,如果你是用 1.0.5 版,可以只下載下面的程式來覆蓋過原 1.0.5 的程式,並且完成升級動作。請注意,這個程式只能給 1.0.5 版使用,不能用在 1.0、1.0.1、1.0.2、1.0.3、1.0.4 等版本:
lifetype-1.0.5-upgrade-lifetype-1.0.6.tar.gzlifetype-1.0.5-upgrade-lifetype-1.0.6.zip也請大家使用
LifeType forums (English)、LifeType 中文開發論壇 或是
LifeType 臭蟲回報系統 來回報任何使用上的情況。
PS: 這個 Bug 雖然我 (Mark) 在接獲一個小時內就修復了。可是,事實上他已經存在很久了。歸咎原因,還是因為忘了作傳入值的 驗證。Web Developer 在這部份可真是應該小心,別偷懶啊。因為總有人會發現的。
James 代發