ThinkPHP框架是国内比较流行的PHP框架之一,虽然跟国外的那些个框架没法比,但优点在于,恩,中文手册很全面。最近研究SQL注入,之前用TP框架的时候因为底层提供了安全功能,在开发过程中没怎么考虑安全问题。
一、不得不说的I函数
TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据,比如I('get.')、I('post.id'),然后用htmlspecialchars函数(默认情况下)进行处理。
如果需要采用其他的方法进行安全过滤,可以从/ThinkPHP/Conf/convention.php中设置:
'DEFAULT_FILTER' => 'strip_tags', //也可以设置多种过滤方法 'DEFAULT_FILTER' => 'strip_tags,stripslashes',
从/ThinkPHP/Common/functions.php中可以找到I函数,源码如下:
/** * 获取输入参数 支持过滤和默认值 * 使用方法: * <code> * I('id',0); 获取id参数 自动判断get或者post * I('post.name','','htmlspecialchars'); 获取$_POST['name'] * I('get.'); 获取$_GET * </code> * @param string $name 变量的名称 支持指定类型 * @param mixed $default 不存在的时候默认值 * @param mixed $filter 参数过滤方法 * @param mixed $datas 要获取的额外数据源 * @return mixed */ function I($name,$default='',$filter=null,$datas=null) { static $_PUT = null; if(strpos($name,'https://www.jb51.net/')){ // 指定修饰符 list($name,$type) = explode('https://www.jb51.net/',$name,2); }elseif(C('VAR_AUTO_STRING')){ // 默认强制转换为字符串 $type = 's'; } /*根据$name的格式获取数据:先判断参数的来源,然后再根据各种格式获取数据*/ if(strpos($name,'.')) {list($method,$name) = explode('.',$name,2);} // 指定参数来源 else{$method = 'param';}//设定为自动获取 switch(strtolower($method)) { case 'get' : $input =& $_GET;break; case 'post' : $input =& $_POST;break; case 'put' : /*此处省略*/ case 'param' : /*此处省略*/ case 'path' : /*此处省略*/ } /*对获取的数据进行过滤*/ if('' // 获取全部变量 $data = $input; $filters = isset($filter)?$filter:C('DEFAULT_FILTER'); if($filters) { if(is_string($filters)){$filters = explode(',',$filters);} //为多种过滤方法提供支持 foreach($filters as $filter){ $data = array_map_recursive($filter,$data); //循环过滤 } } }elseif(isset($input[$name])) { // 取值操作 $data = $input[$name]; $filters = isset($filter)?$filter:C('DEFAULT_FILTER'); if($filters) { /*对参数进行过滤,支持正则表达式验证*/ /*此处省略*/ } if(!empty($type)){ //如果设定了强制转换类型 switch(strtolower($type)){ case 'a': $data = (array)$data;break; // 数组 case 'd': $data = (int)$data;break; // 数字 case 'f': $data = (float)$data;break; // 浮点 case 'b': $data = (boolean)$data;break; // 布尔 case 's': // 字符串 default:$data = (string)$data; } } }else{ // 变量默认值 $data = isset($default)?$default:null; } is_array($data) && array_walk_recursive($data,'think_filter'); //如果$data是数组,那么用think_filter对数组过滤 return $data; }
恩,函数基本分成三块:
第一块,获取各种格式的数据。
第二块,对获取的数据进行循环编码,不管是二维数组还是三维数组。
第三块,也就是倒数第二行,调用了think_filter对数据进行了最后一步的神秘处理。
让我们先来追踪一下think_filter函数:
//1536行 版本3.2.3最新添加 function think_filter(&$value){// 过滤查询特殊字符 if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){ $value .= ' '; } }
这个函数很简单,一眼就可以看出来,在一些特定的关键字后面加个空格。
但是这个叫think_filter的函数,仅仅加了一个空格,到底起到了什么过滤的作用?
我们都知道重要的逻辑验证,如验证是否已登录,用户是否能购买某商品等,必须从服务器端验证,如果从前端验证的话,就很容易被绕过。同一个道理,在程序中,in/exp一类的逻辑结构,最好也是由服务器端来控制。
当从传递到服务器端的数据是这样:id[0]=in&id[1]=1,2,3,如果没有think_filter函数的话,会被解析成下表中的1,也就会被当成服务器端逻辑解析。但如果变成如下表2的样子,因为多了一个空格,无法被匹配解析,也就避免了漏洞。
$data['id']=array('in'=>'1,2,3') //经过think_filter过滤之后,会变成介个样子: $data['id']=array('in '=>'1,2,3')
二、SQL注入
相关的文件为:/ThinkPHP/Library/Think/Db.class.php(在3.2.3中改为了/ThinkPHP/Library/Think/Db/Driver.class.php) 以及 /ThinkPHP/Library/Think/Model.class.php。其中Model.class.php文件提供的是curd直接调用的函数,直接对外提供接口,Driver.class.php中的函数被curd操作间接调用。
//此次主要分析如下语句: M('user')->where($map)->find(); //在user表根据$map的条件检索出一条数据
大概说一下TP的处理思路: