查找 $controller = strip_tags($result[1] ?: $config['default_controller']); 后面新增代码如下:
$controller = strip_tags($result[1] ?: $config['default_controller']);
if (!preg_match('/^[A-Za-z][\w\.]*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }
参考1参考2
风里来
最后,我终于解放了我自己……