在PHP生产环境中，错误发生时，不应向访客暴露路径信息，虽然UT已经做了限制，但仍建议修改PHP.INI配置：
;关闭错误显示（不输出错误到浏览器，但记录错误到日志中） display_errors = Off log_errors = On error_log = php_errors.log error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT

警告：以下安全提示仅针对部分版本（不含UT6+版本），但UT6+版本在开发中也应特别注意同类问题。

以下仅针对UT1~UT5可视包版本作出安全提示

在早期UT可视包版本中，存在高危模块ut-cac（CLI）。此模块存在开发疏漏，ut-cac的使用需要开通shell_exec高危函数，且后端模型逻辑文件modules/ut-cac/admin/cli.php存在应用层验证漏洞（攻击者可绕过路由直接访问源文件而获取相应权限）。
如果你正在使用较老的可视包版本，请尽快升级到UT6+可视包，否则请及时删除ut-cac模块（如非必要使用，强烈建议删除）。[2021.06] 详见可视包其它高风险模块

若你必须使用它，除升级到UT6+之外，以下方案可供参考：
方案1
应用层面验证加固，如在modules/ut-cac/admin/cli.php头部加入以下代码：
if(!defined("UTF_ROOT")): http_response_code(403); exit(); endif;

方案2
通过服务器配置，禁止直接访问源文件路径。以nginx为例，在网站配置文件中加入以下内容：
location ~ ^/modules/.*/admin/.*\.php$ { deny all; return 403; }