下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑。建议类似的厂商不要再做这种蠢事。0 J- e4 G# K% H( i
ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件4 y4 P9 G$ Q0 T% D' B% }# m2 }' X
根据官方文档对”防止SQL注入”的方法解释(见http://doc.thinkphp.cn/manual/sql_injection.html)
# |! y. }) z8 }5 t4 a8 P* b使用查询条件预处理可以防止SQL注入,没错,当使用如下代码时可以起到效果:+ N: G M8 U5 _) e' L8 M& E# E
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();$ T- H" I6 |- |0 \6 X' ~
, p7 Q6 d- V& L) ^0 V/ E
或者3 L- u* b0 ~4 S3 C5 y# X! b
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
3 i2 {! k8 [6 S3 U, o% f1 A7 e# r
% U" q3 O( d" [( y# p 但是,当你使用如下代码时,却没有”防止SQL注入”效果(而官方文档却说可以防止SQL注入):. f% m X2 s4 Q. d; ?# i; j
$model->query('select * from user where id=%d and status=%s',$id,$status);
; P# _* i8 h. N5 R+ P
- [8 R7 z2 }8 v! n或者
x! b& r/ h3 Y" T9 S: Y6 k$model->query('select * from user where id=%d and status=%s',array($id,$status));) l: b1 l' [# K& q9 ~1 A8 f: i& R
6 V# D7 n! `/ X2 c 原因:
+ a6 {6 p Q, X9 DThinkPHP/Lib/Core/Model.class.php 文件里的parseSql函数没有实现SQL过滤.
9 f5 |7 \+ F/ R. R' i! [原函数:
" W2 v4 {3 e; f S1 fprotected function parseSql($sql,$parse) {" G' |) O: T9 Z3 t* D/ Q( I
// 分析表达式8 ^9 a- s( L/ \4 O7 X
if(true === $parse) {% ^5 ~+ s% N4 f# ]' J3 }
$options = $this->_parseOptions();
; J# n3 E! L; v: J $sql = $this->db->parseSql($sql,$options);
- y1 C# y2 r v L5 y; L: R }elseif(is_array($parse)){ // SQL预处理
( E4 C! Y! `, N# J; f4 e) U; ^; a $sql = vsprintf($sql,$parse);
1 R7 G/ O3 [/ g o! i/ T4 c( D% x; O }else{, o7 }# Y% O- j; _8 C
$sql = strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));+ ]/ I0 W' P6 X# i' n; p) F
}
' I/ p2 g; z+ f- ` $this->db->setModel($this->name);
6 W4 M# e2 K* ~ W6 B* X1 ? return $sql;& g. E, G* s8 [+ ^: {
}
' m, S( ^- v: G2 l. }, Q6 }) L/ x# c8 A' \) O
验证漏洞(举例):
# \$ n! z% e1 Z/ W( i9 a' m; @0 x请求地址:) F9 m9 F7 | C- i: b# c
http://localhost/Main?id=boo” or 1=”1% D+ g6 ^- ^, d3 g5 c
或
& C! c9 a& L' J3 s, _; p! m0 u1 Ahttp://localhost/Main?id=boo%22%20or%201=%221% B2 N) N: W$ l( L) _
action代码:
- I! P: h1 \/ E$model=M('Peipeidui');. {0 S" L+ U8 {( [. l
$m=$model->query('select * from peipeidui where name="%s"',$_GET['id']);
8 c. y, w8 }* K9 m: [4 L/ j; } dump($m);exit;
0 _) h" k2 h. g或者% m7 b" S7 y" i) p# j
$model=M('Peipeidui');* A$ w( a: s4 V) v: Y: U M
$m=$model->query('select * from peipeidui where name="%s"',array($_GET['id']));
8 T N1 h) U; }5 A dump($m);exit;6 r6 m6 ?% S$ h- H, ~* w: i- G7 a
结果:/ h- @! Y; z* O+ k8 y
表peipeidui所有数据被列出,SQL注入语句起效., p( H& R* a+ t4 Q7 F% p( p& e
解决办法:6 c0 ~' E9 |, F: f8 c
将parseSql函数修改为:
$ l, [. P/ s3 v9 rprotected function parseSql($sql,$parse) {, p/ W& e' \( O! n0 I! t
// 分析表达式" f% V9 Y; h* K& J: h+ q! ~! ]# ]
if(true === $parse) {# V; k) o+ s4 R4 N7 R# q" u
$options = $this->_parseOptions();1 v$ a& ]6 f5 n6 P9 x
$sql = $this->db->parseSql($sql,$options);
% |1 K/ F3 P8 {& A& E7 G+ ^# j5 [ }elseif(is_array($parse)){ // SQL预处理
" X2 O7 \& D+ P8 J' ? $parse = array_map(array($this->db,'escapeString'),$parse);//此行为新增代码5 a$ t! O+ Y1 o2 |$ G
$sql = vsprintf($sql,$parse);
T- ~$ F9 j H }else{
+ |7 O) L p) J9 l* ?2 P7 _ $sql = strtr($sql,array('__TABLE__'=>$this->getTableName(),'__PREFIX__'=>C('DB_PREFIX')));
) n: ~+ ^6 G: @ }
3 [5 T5 q7 Q k' Y $this->db->setModel($this->name);( y( Z: R% i) x9 ^4 S7 K
return $sql;
1 q' B' {4 f9 W( _8 X }
2 R' c, U2 n* ^- [" B1 z, w) @/ }% z& c5 v# Z# \
总结:
. A- Z3 r5 O) H$ F+ J) M不要过分依赖TP的底层SQL过滤,程序员要做好安全检查0 g L% f& b# O$ j! l4 i
不建议直接用$_GET,$_POST# U! a& P, D$ L5 }* F( d6 [8 f
[/td][/tr]
$ M7 A/ d" k& I& @4 p# x2 }% m3 `[/table]+19 x; t4 `$ L) [! z
2 s$ j3 L1 P; @ X
0 B+ M8 ?0 x P. z5 {; ]
|
发表于 2013-7-27 18:30:26
收藏
支持
反对