对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
ThinkPHP官网上曾有一段公告指出,在ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件
根据官方文档对\"防止SQL注入\"的方法解释(参考http://doc.thinkphp.cn/manual/sql_injection.html)
使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果:
$Model->where(\"id=%d and username=\'%s\' and xx=\'%f\'\",array($id,$username,$xx))->select();
或者
$Model->where(\"id=%d and username=\'%s\' and xx=\'%f\'\",$id,$username,$xx)->select();
但是,当你使用如下代码时,却没有\"防止SQL注入\"的效果(但是官方文档却说可以防止SQL注入):
$model->query(\'select * from user where id=%d and status=%s\',$id,$status);
或者
$model->query(\'select * from user where id=%d and status=%s\',array($id,$status));
原因分析:
ThinkPHP/Lib/Core/Model.class.php 文件里的parseSql函数没有实现SQL过滤.
其原函数为:
protected function parseSql($sql,$parse) {
// 分析表达式
if(true === $parse) {
$options = $this->_parseOptions();
$sql = $this->db->parseSql($sql,$options);
}elseif(is_array($parse)){ // SQL预处理
$sql = vsprintf($sql,$parse);
}else{
$sql = strtr($sql,array(\'__TABLE__\'=>$this->getTableName(),\'__PREFIX__\'=>C(\'DB_PREFIX\')));
}
$this->db->setModel($this->name);
return $sql;
}
验证漏洞(举例):
请求地址:
http://localhost/Main?id=boo\" or 1=\"1
或
http://localhost/Main?id=boo%22%20or%201=%221
action代码:
$model=M(\'Peipeidui\'); $m=$model->query(\'select * from peipeidui where name=\"%s\"\',$_GET[\'id\']); dump($m);exit;
或者:
$model=M(\'Peipeidui\'); $m=$model->query(\'select * from peipeidui where name=\"%s\"\',array($_GET[\'id\'])); dump($m);exit;
结果:
表peipeidui所有数据被列出,SQL注入语句起效.
解决方法:
可将parseSql函数修改为:
protected function parseSql($sql,$parse) {
// 分析表达式
if(true === $parse) {
$options = $this->_parseOptions();
$sql = $this->db->parseSql($sql,$options);
}elseif(is_array($parse)){ // SQL预处理
$parse = array_map(array($this->db,\'escapeString\'),$parse);//此行为新增代码
$sql = vsprintf($sql,$parse);
}else{
$sql = strtr($sql,array(\'__TABLE__\'=>$this->getTableName(),\'__PREFIX__\'=>C(\'DB_PREFIX\')));
}
$this->db->setModel($this->name);
return $sql;
}
总结:
1.不要过分依赖TP的底层SQL过滤,程序员要做好安全检查
2.不建议直接用$_GET,$_POST
本文地址:https://www.stayed.cn/item/8799
转载请注明出处。
本站部分内容来源于网络,如侵犯到您的权益,请 联系我
我的博客
人生若只如初见,何事秋风悲画扇。
我的标签
随笔档案
- 2024-02(2)
- 2023-06(1)
- 2023-05(1)
- 2023-04(14)
- 2023-03(3)
- 2023-01(6)
- 2022-12(5)
- 2022-11(5)
- 2022-07(2)
- 2022-06(4)
- 2022-05(3)
- 2022-03(1)
- 2021-12(6)
- 2021-11(1)
- 2021-10(3)
- 2021-09(5)
- 2021-07(5)
- 2021-02(2)
- 2021-01(7)
- 2020-12(18)
- 2020-11(14)
- 2020-10(12)
- 2020-09(10)
- 2020-08(22)
- 2020-07(2)
- 2020-06(1)
- 2020-04(5)
- 2020-03(9)
- 2020-02(7)
- 2020-01(9)
- 2019-12(8)
- 2019-11(10)
- 2019-10(11)
- 2019-09(17)
- 2019-08(16)
- 2019-07(6)
- 2019-06(3)
- 2019-04(1)
- 2019-03(8)
- 2019-02(5)
- 2019-01(1)
- 2018-11(2)
- 2018-10(3)
- 2018-09(1)
- 2018-08(3)
- 2018-07(3)
- 2018-06(7)
- 2018-04(4)
- 2018-03(5)
- 2018-02(4)
- 2018-01(22)
- 2017-12(3)
- 2017-11(5)
- 2017-10(15)
- 2017-09(26)
- 2017-08(1)
- 2017-07(3)