下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑。建议类似的厂商不要再做这种蠢事。
0 ^7 n$ ~4 G9 M" Q9 W2 L( n+ ~# IThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件
9 d0 J# b0 ?/ s+ U' ^根据官方文档对”防止SQL注入”的方法解释(见http://doc.thinkphp.cn/manual/sql_injection.html)! \$ p% D9 y0 {: Q- b/ E. h& V
使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果:1 f6 K# k1 l5 W* m( H' a
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
! W/ N" T5 f) z( p2 e6 F
, \! y( O7 u n$ E( y1 e; G 或者
- ~! g2 i. Z+ ]; Q/ t/ g' }$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();( v3 K: J4 J& N
' D. {% i4 g4 B 但是,当你使用如下代码时,却没有”防止SQL注入”效果(而官方文档却说可以防止SQL注入):! P5 Z9 h% d+ d: U2 P8 |1 ~" d! c
$model->query('select * from user where id=%d and status=%s',$id,$status);' e# b& P y/ J- m( |- x
' Y" S, ^& R% ?
或者
0 l/ [- M! k- l5 {+ z2 ]+ J$model->query('select * from user where id=%d and status=%s',array($id,$status));
/ \8 Z" [7 f! L" d# `% [" H; g
! R1 l- o/ i4 I) P2 A- ^0 G 原因:. E8 M" u% x* Y' k+ |% w- |
ThinkPHP/Lib/Core/Model.class.php 文件里的parseSql函数没有实现SQL过滤.
& Y1 K" T$ U: M7 @1 P原函数:- J$ W5 X* x* Q3 l$ H3 y
protected function parseSql($sql,$parse) {+ L+ f1 S3 ]* B4 [% N1 W1 l
// 分析表达式
, h J7 L& H3 u& Y# Y- B: u5 U if(true === $parse) {
1 [4 J1 C' y0 w- e ~- t4 e! E5 D $options = $this->_parseOptions();& c( h; k4 ?1 B* a2 x- V
$sql = $this->db->parseSql($sql,$options);
" W+ ]$ l/ S- z. ^ }elseif(is_array($parse)){ // SQL预处理& `/ t9 Z9 K4 v" L' }, O. F
$sql = vsprintf($sql,$parse);9 d; k. D4 V( Y
}else{. [% O* {% A: t* |
$sql = strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));+ X3 @0 `' {. T: _
}
0 ?' Y. d4 c# t) O- `: a1 C: p V& m $this->db->setModel($this->name);
) t6 H: h' d& O. U* s, X$ t return $sql;; I8 A) g/ F- v" f) x# K
}. l# I0 d8 r2 Y7 U
# q! e- \ k8 | Z" v1 ?7 ]9 l+ ~验证漏洞(举例):3 m7 j" d4 P$ y. T4 ?1 c/ L1 \
请求地址:2 `4 M# a4 s4 {7 v0 X4 ]: H
http://localhost/Main?id=boo” or 1=”1
+ [# _9 V5 Q' J4 E1 l9 l. s或4 G. c/ W# G$ {$ Z
http://localhost/Main?id=boo%22%20or%201=%221
! e8 t/ k: [% q. {8 e) m# ?action代码:$ A( _3 ^7 I4 ]% n" X3 t
$model=M('Peipeidui');
9 P7 `: _8 t; M& ?& ^, S; A2 e0 t9 @. T $m=$model->query('select * from peipeidui where name="%s"',$_GET['id']);/ k8 T. n3 F6 n
dump($m);exit;( D. N$ M* A2 }# t# a; c7 f; [9 Q. k
或者
+ [8 J }5 X" r$model=M('Peipeidui');
: b1 f! s" F. M1 q3 Z2 P $m=$model->query('select * from peipeidui where name="%s"',array($_GET['id']));
' |/ d; `& t/ ]( m dump($m);exit;
3 D' z6 |( x2 Q9 Q3 Q结果:- y/ t5 B/ q4 V3 U( p
表peipeidui所有数据被列出,SQL注入语句起效.
* @1 L* c( h0 K7 h' v, j解决办法:
) j& s# g7 r% _1 Q1 \3 |9 _4 L; M将parseSql函数修改为:' ]; p$ n4 I" |+ P
protected function parseSql($sql,$parse) {- M+ A m: ]6 H& ?
// 分析表达式! g9 O7 r8 v* Q7 e. h
if(true === $parse) {
. F9 ^7 U7 C3 e6 ]5 d" s P $options = $this->_parseOptions();
/ Y, H) s' n0 z' B# p $sql = $this->db->parseSql($sql,$options);" E2 C% {5 g- {; N
}elseif(is_array($parse)){ // SQL预处理
( X3 U: E# b# R+ c* l$ u $parse = array_map(array($this->db,'escapeString'),$parse);//此行为新增代码3 Z& i9 F% S3 i, O0 |# a4 l
$sql = vsprintf($sql,$parse);
) D: n c2 z/ n }else{
+ u5 p$ v1 a0 w) D3 b! L $sql = strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));) T. p7 ~9 o: [+ x
}
1 ~) p0 h8 B+ H% q4 q- R/ W# ]: A $this->db->setModel($this->name);' H7 n8 b4 }! L; B$ U9 R
return $sql;9 t1 d6 |1 n8 q8 R
}
: {# g3 ]7 M0 o8 P! K, ?/ t/ U* r$ b
总结:
% z1 \0 K9 R% w0 K& R$ d不要过分依赖TP的底层SQL过滤,程序员要做好安全检查
" F' _6 `7 m2 Y5 ~9 h3 A不建议直接用$_GET,$_POST
4 D2 z/ M2 n$ _3 h" v: s[/td][/tr]; f) p# L9 @* j9 g! z
[/table]+1
+ w4 X- r. p: u2 t0 b, T* @. J
7 Q$ G6 O, ^# a- I
* s; C; _2 N! b3 z& u+ w |
发表于 2013-7-27 18:30:26
收藏
支持
反对