thinkphp 需要注意的一些漏洞(可能已经修复,此处仅是学习)

部分内容摘自网络。看完之后受益匪浅，和大家分享
之前发过关于thinkphp的一个ip获取漏洞，官方木有反应
http://www.thinkphp.cn/bug/2756.html
于是就考虑到官方的关于web中的sql注入过滤的问题是否也是非常马虎。
看来几篇文章，发现确实这个thinkphp 框架写的不怎么样。对于安全问题视而不见。以下部分内容摘自网络以及本人测试
测试：下载thinkphp的当前最新版本ThinkPHP_3.2，我们来看看代码，用事实说话，在sql注入防止上。thinkphp的处理方式
ThinkPHPLibraryThinkModel.class.php里面有如下的代码

1. protected function parseSql($sql,$parse) {
2.         // 分析表达式
3.         if(true === $parse) {
4.             $options =  $this->_parseOptions();
5.             $sql    =   $this->db->parseSql($sql,$options);
6.         }elseif(is_array($parse)){ // SQL预处理
7.             $parse  =   array_map(array($this->db,"escapeString"),$parse);
8.             $sql    =   vsprintf($sql,$parse);
9.         }else{
10.             $sql    =   strtr($sql,array("__TABLE__"=>$this->getTableName(),"__PREFIX__"=>C("DB_PREFIX")));
11.         }
12.         $this->db->setModel($this->name);
13.         return $sql;
14.     }

复制代码 array_map(array($this->db,"escapeString"),$parse);
关键是调用了对应的数据库类型里面的escapeString进行处理。因为php通常和mysql作为搭配，我就看了一下mysql的处理。里面包括了mysql和mysqli的处理代码
mysql版本的处理

1. public function escapeString($str) {
2.         if($this->_linkID) {
3.             return mysql_real_escape_string($str,$this->_linkID);
4.         }else{
5.             return mysql_escape_string($str);
6.         }
7.     }

复制代码 mysqli的处理方式。

1. public function escapeString($str) {
2.         if($this->_linkID) {
3.             return  $this->_linkID->real_escape_string($str);
4.         }else{
5.             return addslashes($str);
6.         }
7.     }

复制代码 看似很正常的处理方式，但是你们明白addslashes、mysql_escape_string、mysql_real_escape_string它们的真正的安全性吗，下面这些文章会让你明白的。
http://blog.csdn.net/felio/article/details/1226569
按照文章的说明，测试代码test.php，文件保存为gbk格式测试一下就明白addslashes安全性了

1. <?php
2. error_reporting(0);
3. header("Content-Type: text/html; charset=gbk");  
4. $username = $_POST["username"];  
5.     $sqlx="select id,isDisplay from user where usname="".addslashes($username)."" and passwd="$password"";
6.     echo $sqlx;
7.     echo "<br>";
8.     echo addslashes($username);
9.     echo 444;
10.  ?>
12.  <form action="" method=post>
13.  <input type=text name="username" value="">
14.  <input type=submit>
15.  </form>

复制代码 下面还有一个连接地址，详细说明了关于addslashes、mysql_escape_string、mysql_real_escape_string的安全性问题。而且这个问题早在2006年就被提出了哦，thinkphp还是不重视
http://blog.csdn.net/zhuizhuziwo/article/details/8525789
最后说一句，按照php官方说法，最好用pdo的预处理，看看thinkphp的封装，完全是误人子弟
ThinkPHPLibraryThinkDbDriverPdo.class.php

1. protected function parseValue($value) {
2.         if(is_string($value)) {
3.             $value =  strpos($value,":") === 0 ? $this->escapeString($value) : """.$this->escapeString($value).""";
4.         }elseif(isset($value[0]) && is_string($value[0]) && strtolower($value[0]) == "exp"){
5.             $value =  $this->escapeString($value[1]);
6.         }elseif(is_array($value)) {
7.             $value =  array_map(array($this, "parseValue"),$value);
8.         }elseif(is_bool($value)){
9.             $value =  $value ? "1" : "0";
10.         }elseif(is_null($value)){
11.             $value =  "null";
12.         }
13.         return $value;
14.     }
16.  public function escapeString($str) {
17.          switch($this->dbType) {
18.             case "PGSQL":
19.             case "MSSQL":
20.             case "SQLSRV":
21.             case "MYSQL":
22.                 return addslashes($str);
23.             case "IBASE":                
24.             case "SQLITE":
25.             case "ORACLE":
26.             case "OCI":
27.                 return str_ireplace(""", """", $str);
28.         }
29.     }

复制代码 一点预处理的东西都没有，到处充斥着addslashes、mysql_escape_string、mysql_real_escape_string看懂了吧。这个封装就是骗小孩的把戏
不多吐槽了。按照php官方说法，大家还是老老实实用pdo的参数绑定方式吧。
下面是参考文章对于pdo有详细说明
http://zhangxugg-163-com.iteye.com/blog/1835721
http://zhangxugg-163-com.iteye.com/blog/1850461