weiphp移植PHP7.0过程

最新推荐文章于 2022-06-17 16:19:23 发布
原创 最新推荐文章于 2022-06-17 16:19:23 发布 · 575 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了将Weiphp框架移植到PHP7.0过程中遇到的三大问题及解决方案:1)simplexml_load_string()函数未定义,需安装simplexml扩展;2)Runtime/Cache目录权限不足,需设置为可写;3)MySQL的only_full_group_by模式导致的SQL错误,需调整sql_mode配置。详细解决步骤和参考资料已提供。

第一个坑

Call to undefined function Think\simplexml_load_string()

simplexml扩展包的问题,需要安装扩展包

sudo apt-get install php7.0-xml


第二个坑

_STORAGE_WRITE_ERROR_:./Runtime/Cache/Install

路径权限的问题,需要设置跟目录权限可写,这个错误是由于创建Runtime目录没有可写权限造成


第三个坑

SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column 'wp_db.wp_material_news.id' which is not functionally dependent on columns in GROUP BY clause; this is incompatible with sql_mode=only_full_group_by

出现这个错误的原因是mysql数据库里面默认将sql_mode增加了 only_full_group_by 的配置,导致无法使用group by来查询,关于sql_mode的相关介绍可以参考如下几个链接:

https://www.cnblogs.com/wangtao_20/archive/2011/02/22/1961795.html

http://blog.youkuaiyun.com/ccccalculator/article/details/70432123

http://blog.youkuaiyun.com/u014520745/article/details/76056170

使用如下命令在mysql的终端中查询sql_mode:

select @@sql_mode;

修改sql_mode是在配置文件 /etc/mysql/mysql.conf.d/mysqld.cnf 中增加如下内容

sql_mode=STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION

修改后查询结果为:

mysql> select @@sql_mode;
+------------------------------------------------------------------------------------------------------------------------+
| @@sql_mode                                                                                                             |
+------------------------------------------------------------------------------------------------------------------------+
| STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION |
+------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)





【漏洞复现】weiphp index.php 远程代码执行漏洞
qq_67810151的博客
03-12 784
weiphp5.0 存在远程代码执行漏洞,未授权的攻击者可以通过该漏洞进入远程代码执行,从而控制服务器。
攻防世界--weiphp
qq_46263951的博客
01-19 1710
这道题原本应该是通过.git源码泄漏获取到源码,利用工具githack,可能是环境的问题,执行完发现目录是空的 直接从网上找源码,可能比源代码的内容要多一些 GitHub - weiphpdev/weiphp5.0: WeiPHP5.0,公众号与小程序结合的最佳开发框架,,它实现一个后台同时管理和运营多个客户端(公众号,微信小程序,后续将支持支付宝小程序,百度小程序等) 进入后的页面为一个登陆框,将login改为register发现该功能被禁用了 前台SQL注入 由于这里对title参数并没有检.
[PHP] 从PHP 5.6.x 移植PHP 7.0.x不兼容点
程序员老狼专注开发aigc或客服系统应用
01-22 430
1.错误和异常处理 1.1 set_exception_handler()函数申明的类型 function handler($e){ var_dump($e); } set_exception_handler('h...
PHP移植
weixin_33883178的博客
01-07 147
1. 首先交叉编译zlib。 CC=arm-linux-gcc ./configure --sahred --prefix=/usr/local/arm/3.4.1/arm-linux make&&make install (一开始我把zlib装在独立的目录下,编译php时在用上--with-zlib选项还是报错,后来直接安装到我交叉编译器目录/usr/local/arm/3.4...
PHP7.3报错undefined function simplexml_load_string()
qq_41737353的博客
06-17 801
PHP7.3报错undefined function simplexml_load_string()
weiphp机制浅析
季真的C语言学习之路
05-26 771
看了几天的框架源代码,有一点点心得,试着分析一下。 1. weiphp安装:创建管理员帐号,写入预置插件的数据库资料
Weiphp随笔,百度天气API接口
weixin_33691817的博客
12-26 211
新建插件名必须大写 http://api.map.baidu.com/telematics/v3/weather?location=%E5%8C%97%E4%BA%AC&output=json&ak=key 数据库配置目录:Application/Common/Conf/   目录结构 由于基于oneTink,因此代码目录结构也与其一致:   ├─index.php ...
基于PHPweiphp微信公众平台框架php版源码.zip
08-29
基于PHPweiphp微信公众平台框架php版源码.zip
基于PHPweiphp微信公众平台框架 php.zip
07-23
基于PHPweiphp微信公众平台框架 php.zip
PHP实例开发源码-weiphp微信公众平台框架 php.zip
11-21
PHP实例开发源码—weiphp微信公众平台框架 php.zip PHP实例开发源码—weiphp微信公众平台框架 php.zip PHP实例开发源码—weiphp微信公众平台框架 php.zip
weiphp微信公众平台授权设置
01-20
weiphp后台使用设置 实现在用户授权时候显示公众号的名字以及分享使用该服务号 使用步骤 1:在weiphp后台打开公众号管理-新增 2:输入公众号名字,原始ID,微信号 3:在这里公众号能查找到 4: 输入完成之后下一步,他会...
weiphp文档
01-04
weiphp是一个开源,高效,简洁的微信开发平台.doc
微信后台管理系统weiphp
03-26
weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的!内有二次开发手册~
arm开发板移植PHP,源码已编译
01-12
在arm开发板上移植PHP,已经编译成功,支持编译器arm-none-gnueabi-linux
WeiPHP2.0 + WeiPHP3.0 两个版本的初始压缩包(官方纯净版)
10-11
WeiPHP2.0 + WeiPHP3.0 两个版本的初始压缩包(官方纯净版) 压缩包内包括两个压缩文件,一个是weiphp2.0的版本,一个是weiphp3.0的版本 WeiPHP2.0说明: 本包为2.0稳定版本 最低系统要求: PHP 5.3.0+ MySQL 5.0+ WeiPHP3.0说明: 本包版本为WeiPHP3.0_20160531_2005版 系统安装教程: 1、将weiphp压缩包解压并上传到服务器。 2、首次在浏览器中访问index.php,将会进入安装向导
关于weiphp
wenqingzzz的专栏
05-07 598
1.http://www.weiphp.cn/ 最近看到了一个weiphp,这个是基于onethink的微信管理,更加类似于一个微信的帐号管理系统, 使用起来十分的方便,是基于TP的。
关于WeiPHP
lz0426001的专栏
03-07 759
http://www.weiphp.cn/ weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的。 旨在帮助开发者快速实现微信公众账号的个性化功能。
weiphp 简介--笔记
weixin_30888027的博客
07-20 174
注意:如果你有什么问题,可加入官方QQ群进行讨论:329650736【已满】,8322255 一、简介 weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的。如你想深入理解和学习本开发平台,后续请研读oneThink的开发手册(http://document.onethink.cn/manual_1_0.html) ...
WEIPHP使用
hubu2006的专栏
11-10 667
weiphp 任意文件读取
最新发布
03-14
<think>嗯,用户想了解Weiphp框架中的任意文件读取漏洞的原因和修复方案。首先,我需要回忆一下常见的文件读取漏洞通常是怎么产生的。比如,用户输入未经过滤直接传递给文件操作函数,可能导致路径穿越或者文件包含。 接下来,我应该检查Weiphp框架中是否存在这样的问题。根据之前的知识,这类漏洞可能在文件下载或读取功能模块中出现,特别是当使用参数如`file`或`filename`时没有正确验证路径。例如,攻击者可能通过构造`../../etc/passwd`这样的路径来访问系统文件。 然后,漏洞的原因可能包括未校验用户输入的合法性,允许绝对路径或路径穿越符号,以及未限制文件访问范围。修复方案通常涉及白名单验证、过滤危险字符、限制文件目录等。另外,框架本身是否有安全更新也需要考虑,比如官方是否发布了补丁。 还要确保回答中引用相关的参考资料,比如提到的Web安全学习笔记中的内容,以增加可信度。最后,生成的相关问题需要围绕漏洞分析、修复步骤、代码审计方法以及框架对比展开,帮助用户深入理解。</think>### Weiphp框架任意文件读取漏洞分析 #### 漏洞原理 该漏洞通常出现在文件下载功能模块中,攻击者通过构造特殊路径参数实现越权读取服务器文件。常见触发点如: $$filepath = $_GET['file']; \quad readfile($filepath);$$ 未对`file`参数进行安全过滤时,攻击者可构造`?file=../../etc/passwd`实现路径穿越[^1]。 #### 漏洞成因 1. 未校验用户输入合法性 2. 允许使用绝对路径或路径穿越符号(`../`) 3. 未限制文件访问目录范围 4. 未对文件后缀进行白名单校验 #### 修复方案 1. **输入过滤**: ```php $allow_files = ['config.inc.php', 'readme.txt']; if(!in_array(basename($file), $allow_files)) { die("非法文件请求"); } ``` 2. **路径限制**: ```php $base_dir = '/var/www/uploads/'; $real_path = realpath($base_dir . $file); if(strpos($real_path, $base_dir) !== 0) { die("路径非法"); } ``` 3. **符号过滤**: ```php $file = str_replace(['../', './'], '', $_GET['file']); ``` 4. **更新框架版本**:升级到Weiphp官方修复版本(需确认官方最新版本号) #### 防御建议 - 使用`chroot`环境限制Web目录 - 设置`open_basedir`限制PHP访问路径 - 禁用危险函数如`readfile()`、`file_get_contents()`等 - 定期进行代码审计(可参考OWASP代码审计指南)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值