顿时有一种觉得村落刚通网的觉得,都已经 2022 年了,还在用 TimThumb.php 进行图片裁剪,会不会心大了一点。
我还是直接一点,先说结论吧:现在还在利用 TimThumb 图片裁剪的 WordPress 主题,一律不要再用了,纵然须要通过选项开启,也不要再用了。
TimThumb 是 Ben Gillbanks 创建的一个用于裁图的 PHP 程序,利用非常简洁方便,只要通过大略的参数就能把图片裁剪或者缩本钱身想要的大小:
timthumb.php?src=my_image.jpg&h=150&w=150&zc=1
上面的链接便是将图片 my_image.jpg 裁剪成150宽,150高,如果不想裁剪,只想缩放,则将 zc 参数设置为 0,其余 TimThunb 还支持滤镜等,总之非常易用。
以是之前很多 WordPress 杂志等类型的主题,都是利用 TimThumb 进行图片的裁剪或者缩放处理。在它最高光的 2009 年,有 95% 的商业 WordPress 主题都是支持 TimThumb。
TimThumb 涌现过重大的安全漏洞在 2011 年,TimThumb 涌现过重大的安全问题,存在远程代码实行漏洞,该漏洞源于脚本没有精确检讨远程缓存的文件,远程攻击者可借助特制的 URL 利用该漏洞上传并实行任意代码。
这个安全漏洞造成非常多的网站被黑,包括 TimThumb 作者的网站,TimThumb 作者由于这个漏洞,搞得心力交瘁,也因此觉得腼腆好多年,连续更新和掩护 TimThumb 的激情亲切降到冰点,其余害怕再次引起别的问题,以是在2014年决定不再更新。
这也解释,开源真的不易,利用的时候一句感谢都没,一旦出问题被骂成狗,现在很多开源作者都背负了太大的压力,WPJAM Basic 也经历过被人辱骂的阶段,只是我挺过来,由于我骂回去了。
回到 TimThumb,TimThumb 在开源史上书写了重大的一笔,对此我以为每个利用过的人都该当心存感激,但是回到现实,一个2014年就已经不再更新,并且曾经还涌现过重大安全漏洞的 PHP 程序,你还在连续利用,是不是心有点大?这是一个非常重大的安全隐患。
以是我重复一下我的结论:现在还在利用 TimThumb 图片裁剪的 WordPress 主题,一律不要再用了,纵然须要通过选项开启,也不要再用了。
切换到云存储和CDN我从 2013 年开始就已经不再利用 TimThumb,现在紧张利用云存储做事供应的缩图功能,以是我写的 WPJAM Basic 的「CDN加速」功能也供应了干系的图片缩放功能,只要勾选一下即可:
其余 WPJAM Basic 还支持直接对 WordPress 博客的各种缩略图进行设置:
非常方便,并且利用云存储裁剪和缩放,所有的操作是在云存储上进行的,并不会像 TimThumb 一样,会花费做事器资源和带宽,以是速率会更快。以是目前还在利用 TimThumb 的用户,切换到云存储是最快的方法。
