快速解决ThinkPHP 项目中使用原生PHP导致的SQL注入问题

最新推荐文章于 2025-10-25 17:31:21 发布
原创 最新推荐文章于 2025-10-25 17:31:21 发布 · 4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何将原生PHP中通过POST、GET和REQUEST方式获取参数的方法替换为ThinkPHP框架中的I方法。具体包括三种情况的转换:从$_POST到I('post.参数名'),从$_GET到I('get.参数名'),以及从$_REQUEST到I('参数名')。

以下三种使用原生PHP接收参数的情况进行替换为ThinkPHP框架的I方法

<div> (?<!(?:isset|empty)[\s]{0,10}\([\s]{0,10})\$_(?:Post)\[\s*(['|"]([\S]+?)['|"])\s*\](?!\s*=)
I('post.$2')

(?<!(?:isset|empty)[\s]{0,10}\([\s]{0,10})\$_(?:get)\[\s*(['|"]([\S]+?)['|"])\s*\](?!\s*=)
I('get.$2')

(?<!(?:isset|empty)[\s]{0,10}\([\s]{0,10})\$_(?:request)\[\s*(['|"]([\S]+?)['|"])\s*\](?!\s*=)
I('$2') </div>


thinkPHP框架中执行原生SQL语句的方法
10-19
主要介绍了thinkPHP框架中执行原生SQL语句的方法,结合实例形式分析了thinkPHP中执行原生SQL语句的相关操作技巧,并简单分析了query与execute方法的使用区别,需要的朋友可以参考下
ThinkPHP3.2.3框架实现执行原生SQL语句的方法示例
10-17
ThinkPHP3.2.3框架提供了预处理语句和参数绑定来防止SQL注入,但在这里直接使用原生SQL,开发者需要自行确保SQL语句的安全性。 总的来说,ThinkPHP3.2.3通过`query()`和`execute()`方法提供了一种灵活的方式来处理...
ThinkPHPSQL注入问题
hldfight
11-22 7406
ThinkPHP常见SQL注入问题0x00 前言0x01 where()方法 + exp表达式1.1 漏洞代码1.2 漏洞利用1.3 漏洞原理1.4 漏洞修复0x02 数据查询方法参数可控导致可拼接操作符2.1 漏洞代码2.2 漏洞利用2.3 漏洞原理2.4 漏洞修复0x03 where()方法 + bind表达式 + save()方法3.1 漏洞代码3.2 漏洞利用3.3 漏洞原理3.4 漏洞修复0x04 order()方法4.1 漏洞代码4.2 漏洞利用4.3 漏洞原理4.4 漏洞修复0x05 参考文章
ThinkPHP5.0.x框架SQL注入
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
为什么80%的PHP网站仍存在SQL注入风险?真相令人震惊
最新发布
ByteChat的博客
10-25 821
掌握PHP SQL注入防护关键方法,有效提升网站安全。针对常见漏洞场景,详解预处理语句与输入过滤等核心技术,兼顾性能与兼容性,90%攻击可预防。开发者必看安全指南,值得收藏。
ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1686
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
Think php 5 注入攻击防御措施
qq_59527682的博客
12-01 314
框架默认没有设置任何过滤规则 1.可以配置文件中设置全局的过滤规则config.php配置选项default_filter添加以下代码即可 // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'trim,strip_tags,addslashes,htmlspecialchars', ...
ThinkPHP5.1.x SQL注入(update方法)
LYJ20010728的博客
08-13 1589
ThinkPHP5 SQL注入(update方法)漏洞概要初始配置 漏洞概要 本次漏洞存在于 Mysql 类的 parseArrayData 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生 漏洞影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用) 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think tpd
ThinkPHP5.1.x SQL注入(orderby注入
LYJ20010728的博客
08-14 1048
ThinkPHP5.1.x SQL注入(orderby注入)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Builder 类的 parseOrder 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL 注入漏洞的产生 漏洞影响版本: 5.1.16<=ThinkPHP5<=5.1.22 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink/think
ThinkPHP5小于5.0.24 远程代码执行高危漏洞 修复方案 bug修复
飙歌的博客
05-07 1074
漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 < 5.0.24 安全版本 ThinkPHP 5.0系列 5.0.24 ThinkPHP 5.1系列 5.1.31 安全建议 升级ThinkPHP至安全版本 修复方法1.打开 \thi...
PHP安全与漏洞,防止SQL注入(一)
Sparks550的博客
11-23 1460
dada
PHP如何防止SQL注入问题
03-27 561
函数stripslashes()和addslashes(),mysql_real_escape_string()等,使安全的SQL查询
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
热门推荐
weixin_43263451的博客
03-30 1万+
大概思路就是我们可以修改requests类的filter属性、method属性以及get属性的值,从而在调用param方法时,call_user_func_array的值我们就可以控制,造成了远程代码执行漏洞。 0. 大致流程 经过入口文件进入run函数 首先在116行根据url获取调度信息时,触发变量覆盖漏洞从而修改requests对象的属性值,然后获取?s=captcha的调度信息并返回给$dispatch 再到139行进入exec函数并将$dispatch作为参数带入 跟进后根据$dispatch
thinkphp-在模板中使用原生PHP
weixin_34198762的博客
02-13 156
说明Php代码可以和标签在模板文件中混合使用,可以在模板文件里面书写任意的PHP语句代码示例{php}echo'Hello,world!';{/php}输出Hello,world! 转载于:https://blog.51cto.com/suyanzhu/1897264...
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 4726
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
SQL注入漏洞-01】SQL注入漏洞原理及分类
cc
02-01 7798
结构化查询语言(Structured Query Language,缩写︰SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。sql注入在安全问题中排行第一。
ThinkPHP防止SQL注入攻击的方法
Oona_01的博客
06-28 464
ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时。参数绑定可以防止SQL注入攻击,因为绑定的参数会被自动转义,而不是直接插入到SQL语句中。以下是在ThinkPHP使用参数绑定的一些建议。在ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时,参数绑定可以防止SQL注入攻击,所以本文将给大家介绍了ThinkPHP防止SQL注入攻击的方法,需要的朋友可以参考下。通过使用参数绑定,可以有效地防止SQL注入攻击,并确保应用的安全性。
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 2210
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值