漂流瓶

一个基于 Web 的匿名社交漂流瓶系统，让用户可以自由地扔出或捡起漂流瓶，分享心情，寻找共鸣。

漂流瓶系统是一个轻量级的社交平台，旨在为用户提供一个安全、匿名的空间来分享内心感受、结交新朋友。它借鉴了“漂流瓶”这一经典概念，将用户的想法和情感以数字化的形式投入互联网的海洋，等待有缘人发现。

系统设计简洁直观，注重用户体验与互动性，同时将用户隐私和数据安全放在首位。无论您是想倾诉心事、寻求建议，还是仅仅想与陌生人分享一个有趣的想法，漂流瓶系统都能满足您的需求。

部署方法：要求PHP7.0+ MySQL 5.6+

确保PHP启用以下扩展：mysqli, mbstring, json

导入：driftbottle.sql到数据库内 修改includes/config.php 文件

使用：admin/test_admin.php 重置管理员密码，即可完成

把所有配置功能都添加到后台了，可以总结在后台修改，新增了封号功能

功能变更

取消使用伪静态功能

修改nginx.htaccess配置文件，注释掉伪静态转发规则

清空.htaccess文件，彻底取消Apache伪静态规则

修改前端JavaScript API调用，从使用伪静态路径格式改为传统的GET参数格式

增强前端代码错误处理和调试功能，提高系统稳定性

改进表单提交验证，增加防护检查机制

问题修复

修复注册页面中表单ID不匹配问题，确保输入验证正确工作

修复API调用路径，将所有api.php/endpoint格式的调用改为api.php?action=endpoint格式

增加错误日志和调试信息，提供更详细的问题排查支持

增强JavaScript代码的健壮性，添加必要的错误捕获和空值检查

版本 (v1.0.1) - 2025年4月20日

新增功能

增强安全功能

增强了sanitizeInput函数，使用更严格的参数

添加了专门的HTML过滤函数sanitizeHtml，允许基本HTML标签但过滤危险内容

添加了URL过滤函数sanitizeUrl

添加了SQL过滤函数sanitizeSql

创建了完整的安全中间件类Security，提供了

内容安全策略（CSP）设置

安全相关的HTTP响应头

会话固定攻击防护

CSRF令牌生成和验证

输入验证和过滤

恶意输入检测

在API处理流程中增加了恶意输入检测

为常用API端点增加了详细的验证规则

前端添加了CSRF令牌处理工具以及获取CSRF令牌的API端点

增强了 Security 类：

扩展了恶意模式检测，添加更多XSS和SQL注入模式

添加了更严格的HTML净化函数 purifyHtml

添加了JSON数据过滤和安全输出功能

改进了基本过滤函数：

为所有过滤函数添加了类型检查

增强了URL过滤，阻止更多危险协议

集成了高级HTML过滤

添加了专门的验证器类 Validator：

提供了对用户名、密码、URL、电子邮件等的高级验证

实现了文本和HTML内容的验证和长度检查

添加了密码强度评估

优化了API处理：

使用安全输出JSON函数

记录潜在的攻击尝试

改进了CORS和预检请求处理

新增账号封禁功能

管理员可以控制账号是否允许登陆

已运行用户使用update_user_status.sql新增数据表

项目链接：https://github.com/kggzs/Driftbottle