ThinkPHP框架通杀所有版本的一个SQL注入漏洞

admin

下面是摘自thinkphp官方的一个公告，官方直接贴出这些东西是非常不负责的行为，跟上次apache公开的Struts2的代码执行一样的行为，会造成很多用户被黑。建议类似的厂商不要再做这种蠢事。
$ H. Y9 ~* b9 w: E$ D5 O  l) t7 vThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件
根据官方文档对”防止SQL注入”的方法解释(见http://doc.thinkphp.cn/manual/sql_injection.html)
- Q9 y" H/ i# _  r8 N使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

: D7 v% P" c5 d& q0 G; x- Y 或者
7 U+ h* v. t/ _- i% j4 g5 F$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
. m5 S# L0 x0 Y* {' g
: V5 ^8 {4 e. l; ?$ P1 E8 o1 o1 @ 但是,当你使用如下代码时,却没有”防止SQL注入”效果(而官方文档却说可以防止SQL注入):
% i7 B7 t, e( a$model->query('select * from user where id=%d and status=%s',$id,$status);
( J+ m3 F7 v6 F+ _: q
% L$ H3 \6 |) Y( }或者
$model->query('select * from user where id=%d and status=%s',array($id,$status));

原因:
ThinkPHP/Lib/Core/Model.class.php 文件里的parseSql函数没有实现SQL过滤.
原函数:
, q4 i/ _$ F7 u) K8 }5 jprotected function parseSql($sql,$parse) {
        // 分析表达式
        if(true === $parse) {
1 j+ g9 \. F- U2 S+ y2 S# p) k            $options =  $this->_parseOptions();
            $sql  =   $this->db->parseSql($sql,$options);
/ P% G" f& d+ X! I* S        }elseif(is_array($parse)){ // SQL预处理
6 d( y; p6 P- v% S& t            $sql  = vsprintf($sql,$parse);
        }else{
            $sql    =   strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));
        }
        $this->db->setModel($this->name);
( P: }4 T$ q9 K$ |: s0 ~        return $sql;
    }
: V0 M/ r7 b. J( q! l! X3 y: d( C
9 n$ F& ^; U& Z0 p) G2 Y8 B$ H) v. ^5 A验证漏洞(举例):
  f' H2 K! J. R$ ~% h: Z( J请求地址:
" n7 W- w4 }# M# Q: `" C4 Phttp://localhost/Main?id=boo” or 1=”1
或
/ C- Z1 r3 E% o7 s- jhttp://localhost/Main?id=boo%22%20or%201=%221
action代码:
, {% m; ?$ m5 O2 W/ j& j$model=M('Peipeidui');
- y- a4 L4 T3 x# w7 ^$ E6 J; A        $m=$model->query('select * from peipeidui where name="%s"',$_GET['id']);
$ W) |4 ?& @$ }. H        dump($m);exit;
3 f* s8 e$ ~$ a! n' |( I% [或者
% q" M0 K6 U2 ^$model=M('Peipeidui');
        $m=$model->query('select * from peipeidui where name="%s"',array($_GET['id']));
+ Y& y. y3 ^6 |0 x. [        dump($m);exit;
. X% G2 \7 T% R" _8 C( {! r结果:
7 H7 [! {  c; [; P1 P0 I$ i5 K表peipeidui所有数据被列出,SQL注入语句起效.
解决办法:
将parseSql函数修改为:
protected function parseSql($sql,$parse) {
  S; j: ~7 `: f% V2 \1 @$ j8 y        // 分析表达式
        if(true === $parse) {
* U5 a$ C% F  q% Z' z/ t) t            $options =  $this->_parseOptions();
0 K% x2 p* G6 O            $sql  =   $this->db->parseSql($sql,$options);
% d" T; @* Z( Y  o4 c! F        }elseif(is_array($parse)){ // SQL预处理
1 v& I) a$ f& M9 i/ O8 y3 d            $parse = array_map(array($this->db,'escapeString'),$parse);//此行为新增代码
  B" c* r. t: y: z) K7 w( |            $sql  = vsprintf($sql,$parse);
; }; J# T; G' j        }else{
8 W( r6 e- P" f* m+ \5 s& y            $sql    =   strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));
        }
        $this->db->setModel($this->name);
        return $sql;
    }
- E, x: `  }: e1 B; G
" U% I9 e5 @) M0 P, C总结:
不要过分依赖TP的底层SQL过滤,程序员要做好安全检查
不建议直接用$_GET,$_POST
[/td][/tr]
) e8 b' e1 m& {; f) H0 K2 C[/table]+1