另一个安全更新:LifeType 1.0.6 释出

1.0.5 释出后,开发团队发现一个另一个尚未修补的 SQL Injection 安全性问题,因此我们立即修復这个安全性问题,并释出修正后的新版本。受影响的只有几个档案,因此我们希望这次的昇级不会造成大多的麻烦。请继续阅读来取得更多和昇级有关的资讯。

和之前相同的,你可以从 Sourceforge.net 来取得 .ZIP, .TAR.GZ 和 .TAG.BZ2 等格式的完整版本。

lifetype-1.0.6.zip
lifetype-1.0.6.tar.gz
lifetype-1.0.6.tar.bz2

请注意,如果你是从 1.0.x 版升级到这个版本,你并不需要执行 wizard.php 来作任何资料库变更的动作。你只需要保留你的 /config 目录理的档案,并将其他档案用 1.0.5 的程式覆盖过去即可。如果你有任何自行修改的程式需要保留,请注意你在升级过程也必须一併保留这些档案。否则可能造成升级后不正常的运作。

另外我们也提供升级的版本给 1.0.5 版,如果你是用 1.0.5 版,可以只下载下面的程式来覆盖过原 1.0.5 的程式,并且完成升级动作。请注意,这个程式只能给 1.0.5 版使用,不能用在 1.0、1.0.1、1.0.2、1.0.3、1.0.4 等版本:

lifetype-1.0.5-upgrade-lifetype-1.0.6.tar.gz
lifetype-1.0.5-upgrade-lifetype-1.0.6.zip

也请大家使用 LifeType forums (English)LifeType 中文开发论坛 或是 LifeType 臭虫回报系统 来回报任何使用上的情况。

PS: 这个 Bug 虽然我 (Mark) 在接获一个小时内就修復了。可是,事实上他已经存在很久了。归咎原因,还是因为忘了作传入值的 验证。Web Developer 在这部份可真是应该小心,别偷懒啊。因为总有人会发现的。