ThinkPHP的SQL注入问题

最新推荐文章于 2025-10-25 17:17:36 发布
原创 最新推荐文章于 2025-10-25 17:17:36 发布 · 7.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了ThinkPHP框架中几种常见的SQL注入漏洞,包括where()+exp表达式、数据查询方法参数可控、where()+bind表达式+save()方法及order()方法的漏洞代码、利用方法及其修复方案。

ThinkPHP的SQL注入问题

0x00 前言

由于之前对于PHP的了解仅限于原生PHP,因此最近利用空闲时间学习了thinkphp3和thinkphp5两个版本的框架,学习后发现两个版本差别还是挺大的,比如:
1、在tp3中Index控制器类命名为IndexController.class.php,在tp5中则为简单的Index.php
2、在tp3中的单字母函数被tp5中提供的助手函数给替代了,如模型层操作时:
在tp3中为:

M('user')->where(["username" => $username])->find();

在tp5中则为:

db('user')->where("username", $username)->find();

3、使用 /id/1001 方式传参时:
在tp3中可以从GET参数中获取:

$data = $_GET['id'];

在tp5中,则改为了使用Request对象的param()方法获取:

$data = $request -> param();

除了这些,还有很多其他的变化,这里就不一一列举了。
虽然tp3和tp5的差别很大,但是对于代码审计人员来说,语法上的差别是可以很快适应的,我们关注的重点应该是安全方面的变化。因此本篇记录下学习到的tp框架中一些常见的sql注入问题。由于刚开始学习tp框架,所以总结的可能不够全面,后面学习到新的再补充。

0x01 where()方法 + exp表达式

1.1 漏洞代码

如下是在tp3.2.5版本中的漏洞代码:

<?php
namespace Home\Controller;
use Think\Controller;
class HelloController extends Controller
{
   
   
    public function sqli()
    {
   
   
//        $username = I('username');
        $username = $_GET['username'];
        $data = M('user')->where(["username" => $username</
最低0.47元/天 解锁文章
[ vulhub漏洞复现篇 ] Thinkphp SQL注入 && 敏感信息泄露
qq_51577576的博客
09-29 1996
[ vulhub漏洞复现篇 ] Thinkphp SQL注入 && 敏感信息泄露 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。 Thinkphp5X设计缺陷导致泄漏数据库账户密码
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 897
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1693
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
ThinkPHP5.0.x SQL注⼊
LYJ20010728的博客
08-09 1540
ThinkPHP5.0.x SQL注⼊初始配置漏洞利用漏洞分析漏洞描述ThinkPHP5.0.x目录结构Payload说明Application\index\controller\Index.php补充代码说明本地代码审计漏洞修复 初始配置 这里利用ThinkPHP5.0.14做示例,戳此进行下载 下载后的源码中,需要对Application\index\controller\Index.php内容进行修改 <?php namespace app\index\controller; use t
揭秘PHP SQL注入漏洞:5步彻底加固你的Web应用安全防线
最新发布
BreakNexus的博客
10-25 628
掌握PHP SQL注入防护核心方法,5步有效阻断数据库攻击。适用于各类Web应用开发场景,涵盖预处理语句、输入过滤、权限最小化等关键技术,提升系统安全性。方案实用高效,值得收藏。
ThinkPHP5.0.10 SQL注入
LYJ20010728的博客
08-13 1115
ThinkPHP5.0.10 SQL注入漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句;再一个, Request 类的 filterValue 方法漏过滤 NOT LIKE 关键字,最终导致 SQL注入漏洞的产生 漏洞影响版本: ThinkPHP=5.0.10 初始配置 获取测试环境代码 composer create-project --pref
sql注入实战——thinkPHP
Sesessep的博客
08-11 1786
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15中,改名为thinkphp再将think-5.0.15放到WWW文件夹中输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
ThinkPHP5.0.x框架SQL注入
热门推荐
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
ThinkPHP5.1.C+CmsEasy-SQL注入
m0_67441173的博客
08-11 1595
用户可控数据未经过滤,传入 Query 类的 max 方法进行聚合查询语句构造,接着调用本类的 aggregate 方法,本次漏洞问题正是发生在该函数底层代码中,所以所有调用该方法的聚合方法均存在 SQL 注入问题,我们看到 aggregate 方法又调用了 Mysql 类的 aggregate 方法,在该方法中,我们可以明显看到程序将用户可控变量 $field 经过 parseKey 方法处理后,与 SQL 语句进行了拼接。Builder类下的select方法:重点看对字段的处理,也就是重点看。
ThinkPHPSQL注入漏洞学习
m0_61858762的博客
08-17 1172
ThinkPHPSQL注入漏洞学习
ThinkPHP5漏洞分析之SQL注入(七)
Jeromeyoung
01-06 2223
返回到了$instance变量中,这时控制器这块已经基本上处理完了,think\App实际上就是thinkphp\library\think\App.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。命名空间的概念百度一下就知道了。相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?接下来就是获取方法,调用反射执行类的方法。
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
ThinkPHP5 SQL注入漏洞
2201_75541793的博客
07-29 242
这行代码本身是中性的,但它允许接收一个数组类型的输入,这是后续漏洞被利用的前提。可以看到并没有检查传入数组的键就将键拼接进了bindKey中,因此可以在键中构造恶意sql代码启动环境,通过localhost/index.php?ids[]=1&ids[]=2来验证环境是否正常启动。
thinkphp5漏洞sql注入
m0_69656902的博客
08-12 616
查看后我们得知新版本进行了一个安全更新,所以是存在漏洞的,接下来我们就要根据版本更新后的补丁确定漏洞的位置。因为要先进行数据库的连接,在进入到insert中,所以我们退出来就能进入到insert方法中。但我们要看的是Builder,所以我们进入Builder中的insert。因为是parseData在处理数据,所以我们要进入parseData中。查询结果都是使用了拼接的方法,所以可能是在此处出现了问题。向下查看内容找到先前的补丁内容发现缺少内容,确定漏洞在此。查看版本更新后提交的信息,发现其修改的。
ThinkPHP5 SQL注入漏洞&&敏感信息泄露漏洞
weixin_45653478的博客
04-27 1343
ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。
Thinkphp 5.1.17 SQL注入
feng的博客
03-05 1732
前言 之前审计的是5.0.15的parseData函数漏洞导致的SQL注入。这次审的是5.1.17的parseArrayData函数漏洞导致的SQL注入。影响版本: 5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。 composer create-project topthink/think=5.1.17 thinkphp5.1.17 然后改一下composer.json,再composer update就好了。 然后设置一下database.php:
学习笔记-ThinkPHP5漏洞分析之SQL注入(四)
人饭子的博客
11-09 1269
ThinkPHP5漏洞分析之SQL注入(四) 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 不同版本 payload 需稍作调整: 5.0.0~5...
ThinkPHP依赖注入
weixin_30908707的博客
11-30 352
D:\wamp64\www\thinkphp5.1\tp5.1\application\index\controller\Demo1.php文件 <?php namespace app\index\controller; /** *容器与依赖注入的原理 * 1.任何的URL访问,最终都是定位到控制器,由控制器中某个具体的方法去执行 * 2.一个控制器对应着一个类,如果...
ThinkPHP5 的 SQL 注入漏洞
sucker的博客
04-21 1158
也就是:$_GET['ids'] 是一个数组,key 为 '0,updatexml(0,concat(0xa,user()),0)'这是一个报错注入语句,updatexml() 是 MySQL 中常见的报错函数,用于将数据输出到错误信息中。攻击者可利用漏洞构造恶意 SQL 语句,绕过预编译机制,直接操作数据库,导致数据泄露、篡改甚至服务器沦陷。时,预编译过程会直接解析 SQL 语句中的动态内容,导致攻击者可通过报错注入(如。)是 ThinkPHP5 框架中一系列因设计缺陷导致的安全问题,主要影响早期版本。
thinkphp sql 漏洞
12-27
### ThinkPHP SQL 安全漏洞及修复方法 #### 背景介绍 ThinkPHP 是一款流行的 PHP 开发框架,由于其简洁易用的特点,在国内开发者社区中有广泛应用。然而,随着应用的增长,一些安全问题也随之浮现,特别是 SQL 注入类的安全隐患。 #### 漏洞描述 在某些版本的 ThinkPHP 中存在 SQL 注入风险,攻击者可以通过精心构造的数据请求参数注入恶意 SQL 语句并被执行。例如,通过特定 URL 参数组合可以触发 `updatexml` 函数导致错误回显从而泄露数据库用户名等敏感信息[^3]。 ```http http://127.0.0.1:9999/thinkphp/think-5.1.6/public/?username[0]=point&username[1]=1&username[2]=updatexml(1,concat(0x7,user(),0x7e),1)&username[3]=0 ``` 这种类型的攻击能够绕过应用程序逻辑直接操作底层数据库,造成数据泄漏或其他更严重的后果。 #### 解决方案 为了防止此类漏洞的发生,建议采取如下措施: - **及时更新**:官方已经发布多个补丁来解决已知的安全问题,确保使用的 ThinkPHP 版本是最新的稳定版。 - **严格验证输入**:对于所有来自用户的输入都应进行严格的校验和过滤处理,避免未经处理的数据直接参与查询构建过程。 - **使用预编译语句**:采用 PDO 或 MySQLi 的准备好的陈述方式代替拼接字符串的方式来执行动态 SQL 查询命令,这样可以在很大程度上减少被注入的风险。 ```php // 使用PDO预处理语句的例子 $pdo = new PDO('mysql:host=localhost;dbname=test', 'root', ''); $stmt = $pdo->prepare("SELECT * FROM users WHERE username=:name"); $stmt->execute(['name' => $_GET['username']]); $result = $stmt->fetchAll(); ``` - **启用防火墙防护机制**:部署 Web 应用程序防火墙 (WAF),它可以识别常见的攻击模式并对可疑流量加以拦截。 - **定期审查代码库安全性**:建立持续集成环境下的自动化测试流程,包括静态分析工具扫描源码质量;同时鼓励团队成员学习最新的安全实践和技术趋势。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值