对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析-侯体宗的博客

对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
ThinkPHP / 管理员发布于 8年前 172

ThinkPHP官网上曾有一段公告指出，在ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件
根据官方文档对"防止SQL注入"的方法解释(参考http://doc.thinkphp.cn/manual/sql_injection.html)
使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果:

$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

或者

$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

但是,当你使用如下代码时,却没有"防止SQL注入"的效果(但是官方文档却说可以防止SQL注入):

$model->query('select * from user where id=%d and status=%s',$id,$status);

或者

$model->query('select * from user where id=%d and status=%s',array($id,$status));

原因分析:

ThinkPHP/Lib/Core/Model.class.php 文件里的parseSql函数没有实现SQL过滤.
其原函数为:

protected function parseSql($sql,$parse) {// 分析表达式if(true === $parse) {  $options = $this->_parseOptions();  $sql =  $this->db->parseSql($sql,$options);}elseif(is_array($parse)){ // SQL预处理  $sql = vsprintf($sql,$parse);}else{  $sql  =  strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));}$this->db->setModel($this->name);return $sql;}

验证漏洞(举例):
请求地址:

http://localhost/Main?id=boo" or 1="1

或

http://localhost/Main?id=boo%22%20or%201=%221

action代码:

$model=M('Peipeidui');$m=$model->query('select * from peipeidui where name="%s"',$_GET['id']);dump($m);exit;

或者：

$model=M('Peipeidui');$m=$model->query('select * from peipeidui where name="%s"',array($_GET['id']));dump($m);exit;

结果:

表peipeidui所有数据被列出,SQL注入语句起效.

解决方法:

可将parseSql函数修改为:

protected function parseSql($sql,$parse) {// 分析表达式if(true === $parse) {  $options = $this->_parseOptions();  $sql =  $this->db->parseSql($sql,$options);}elseif(is_array($parse)){ // SQL预处理  $parse = array_map(array($this->db,'escapeString'),$parse);//此行为新增代码  $sql = vsprintf($sql,$parse);}else{  $sql  =  strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));}$this->db->setModel($this->name);return $sql;}

总结:
1.不要过分依赖TP的底层SQL过滤,程序员要做好安全检查
2.不建议直接用$_GET,$_POST

您可能感兴趣的文章:

thinkphp中多表查询中防止数据重复的sql语句(必看)
Thinkphp实现MySQL读写分离操作示例
thinkphp区间查询、统计查询与SQL直接查询实例分析
ThinkPHP结合ajax、Mysql实现的客户端通信功能代码示例
thinkPHP连接sqlite3数据库的实现方法(附Thinkphp代码生成器下载)
thinkPHP使用pclzip打包备份mysql数据库的方法
thinkphp3.x连接mysql数据库的方法(具体操作步骤)
thinkphp下MySQL数据库读写分离代码剖析
thinkPHP框架中执行原生SQL语句的方法

上一条：
Thinkphp的volist标签嵌套循环使用教程
下一条：
ThinkPHP让分页保持搜索状态的方法

0条评论 (评论内容有缓存机制,请悉知!)

最新最热

相关文章
thinkphp + mongodb项目中数据加载慢问题分析及解决(0个评论)
thinkphp6框架中封装redis操作类(0个评论)
thinkphp6框架中实现定时任务功能流程步骤(0个评论)
Thinkphp5.1框架中实现Session+Redis会话共享流程步骤(0个评论)
TP5框架版本5.0.10安全漏洞根据官方补丁修复，也是本站安全漏洞修复(0个评论)

近期文章
在go语言中使用api.geonames.org接口实现根据国际邮政编码获取地址信息功能(1个评论)
在go语言中使用github.com/signintech/gopdf实现生成pdf分页文件功能(0个评论)
gmail发邮件报错:534 5.7.9 Application-specific password required...解决方案(0个评论)
欧盟关于强迫劳动的规定的官方举报渠道及官方举报网站(0个评论)
在go语言中使用github.com/signintech/gopdf实现生成pdf文件功能(0个评论)
Laravel从Accel获得5700万美元A轮融资(0个评论)
在go + gin中gorm实现指定搜索/区间搜索分页列表功能接口实例(0个评论)
在go语言中实现IP/CIDR的ip和netmask互转及IP段形式互转及ip是否存在IP/CIDR(0个评论)
PHP 8.4 Alpha 1现已发布！(0个评论)
Laravel 11.15版本发布 - Eloquent Builder中添加的泛型(0个评论)

近期评论
122 在
学历：一种延缓就业设计，生活需求下的权衡之选中评论工作几年后，报名考研了，到现在还没认真学习备考，迷茫中。作为一名北漂互联网打工人..
123 在
Clash for Windows作者删库跑路了，github已404中评论按理说只要你在国内，所有的流量进出都在监控范围内，不管你怎么隐藏也没用，想搞你分..
原梓番博客在
在Laravel框架中使用模型Model分表最简单的方法中评论好久好久都没看友情链接申请了，今天刚看，已经添加。..
博主在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了，可以看看近期评论的其他文章..
1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论网站不能打开，博主百忙中能否发个APP下载链接，佛跳墙或极光..

Top