thinkphp安全吗，基于thinkphp构建的yourphp企业cms网站程序，有经验的回答下这个软件安全和易用性。

发布网友 发布时间：2022-04-28 06:52

我来回答

共5个回答

懂视网 时间：2022-04-28 11:13

下面由thinkphp框架教程栏目给大家分享thinkphp整合企业号的坑，希望对需要的朋友有所帮助！

ThinkPHP 使用微信企业号回调的坑

最近在做企业号回调的接口，之前做过几个企业号的应用了，每次接入到Thinkphp都报各种各样的错误，算哥倒霉，该踩的不该踩的坑全踩了。

这次掉坑里差点就放弃了，开发过企业号的都知道，企业号回调会经过一个加密的算法，要求开发者对此进行解密才能开启回调，就是个这个回调，微信的错误提示极其霸道，不管你什么错，就一句话“ echostr校验失败，请您检查是否正确解密并输出明文echostr”。最起码应该告诉一下开发者，微信收到的返回长度是多少，也好与自己的输出进行校验，如果长度都不一致，就更不用说内容了。

如果你跟我一样用了tp框架，那你要留意了，本文以Thinkphp3.2.3 php版本5.3为例

坑1

之后就是使用官方的sample copy进你的项目简单修改下就算整合完成了，过程挺简单的，但是！在PHP5.3之前构造函数的写法和PHP5.3之后有变化，构造函数不能再以类名当作函数名来命名，必须要使用__construct声明一个构造函数，也就是说用官方的例子来整合是肯定会报错的，当然前提是你用的也是PHP5.3之后的版本。

所以还需要

大功告成，可能不适用于低版本的Thinkphp 或者php5.3以下，我没做过其他版本的测试

坑2

填写企业号回调信息点击保存不成功时，多点几次真的有奇效！
这不是玩笑~~因为企业号发给开发者的随机签名里面，很有可能包含+号，当你get url的时候，php会自动把+号过滤为空格，导致发来的签名和实际地址签名不一致，signature验证就不会通过了，会报40001: 签名验证错误。
当然，你也可以把空格再还原为+号，这样能确保与发送的签名地址一致。（我觉得这是微信回调的一个小bug，签名里不应该带有这样特殊意义的符号）

坑3

全部都通过验证了，也返回微信要的明文了，还是不通过，what？打印到本地看看，也没错啊，百度我都搜遍了，什么去掉文件BOM头，改header头，通通都试过了，我真的的的确确解密了，而且把解密的结果返回给了微信，还是不行啊，WTF。。

真的返回了明文么？你以为打印到本地就是对的么？错了。有个东西叫缓冲区
缓冲区的东西是不会打印到本地的，微信在访问你网址的时候，先get到的东西是缓冲区内容而不是你输出的明文。所以，要先清除缓冲区，办法是在echo前使用ob_clean()，估计其他框架也一样。

这三个算是比较大的坑吧，网上的资料也少得可怜，希望能帮到大家。

热心网友 时间：2022-04-28 08:21

安全是你代码的问题 thinkphp它只是个框架 代码还是要自己写的
你说的yourphp还可以的 安全性也还行追问请问，我看到你好像是“百度知道”——Dreamweaver“问答团”的，对于这块，yourphp的用户体验和SEO做得都不错，我是比较满意这个程序的源码的。所以特地过来问问。有了解过这款软件就更好了，呵呵。

追答我以前用过个程序开发过程序的 不过seo优化还是可以的
你可以学学的 祝你成功

热心网友 时间：2022-04-28 09:39

thinkphp做站还挺好用的 cms有局限性 thinkphp比较灵活追问我想要做企业站，要有产品模块的，初步感觉yourphp比较满意，但是没想到他们的软件是需要收费的。日。啊

追答你做好一版其它都可以套用的。 thinkphp是基于mvc架构的 很灵活。

热心网友 时间：2022-04-28 11:14

dede比较适合小型网站，任何一个系统都不能保证其真正的安全性。要看自己的处理

热心网友 时间：2022-04-28 13:05

我自己感觉还不错的！追问恩。如果说用过dedecms的人再用yourphp的话，应该感觉不错的。我主要看中的是他的产品详细页模块，类似淘宝的产品详细图。鼠标移上去可以放大。不知道还有其他的源码能不能实现这种功能，我看到wordpress，还有dedecms 好像都没有这么人性化的产品详细页“模块”的。