V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abelyao
V2EX  ›  信息安全

都来说说 ThinkPHP 的安全问题吧,乌云上的漏洞一个接一个啊

  •  
  •   abelyao · 2014-12-20 11:27:07 +08:00 · 6132 次点击
    这是一个创建于 3645 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这两天又爆出 SQL 注入了,搜一下真是一个接一个:
    http://www.wooyun.org/searchbug.php?q=VGhpbmtwaHA%3D&showall=1

    这货是否真的从设计理念上就存在问题?
    12 条回复    2014-12-22 00:56:00 +08:00
    tabris17
        1
    tabris17  
       2014-12-20 12:25:07 +08:00
    框架导致SQL注入?难道不是框架使用者不良编程习惯导致的?
    abelyao
        2
    abelyao  
    OP
       2014-12-20 12:43:48 +08:00
    @tabris17 呵呵
    x86
        3
    x86  
       2014-12-20 12:45:43 +08:00
    有料的不会在这说出来吧
    xoxo
        4
    xoxo  
       2014-12-20 14:40:11 +08:00
    楼主提的?呵呵连篇
    ksc010
        5
    ksc010  
       2014-12-20 17:14:04 +08:00
    @tabris17 看了修复记录,框架问题
    用TP的赶紧打补丁吧 擦
    mahone3297
        6
    mahone3297  
       2014-12-20 18:34:12 +08:00
    不用就没问题了。。
    abelyao
        7
    abelyao  
    OP
       2014-12-20 19:04:05 +08:00 via Android
    @mahone3297 现在早已经不用了,但是一个国产著名的框架,多关注一下自然是好的
    abelyao
        8
    abelyao  
    OP
       2014-12-20 19:05:48 +08:00 via Android
    @xoxo 乌云上的不是我提的
    yakczh
        9
    yakczh  
       2014-12-20 20:57:19 +08:00
    这也说明了国内phper的水平
    xuhaoyangx
        10
    xuhaoyangx  
       2014-12-21 10:43:59 +08:00
    @abelyao = =用啥php框架
    RIcter
        11
    RIcter  
       2014-12-21 22:53:21 +08:00 via iPad
    @xoxo
    @tabris17
    ˊ_>ˋph提的,洞主我也认识,私下问过。
    没看过细节就别呵呵,确实是框架的注入。
    细节我看过,I函数获取用户输入的时候,可以绕过过滤导致注入。

    有些人啊ˊ_>ˋ
    abelyao
        12
    abelyao  
    OP
       2014-12-22 00:56:00 +08:00 via Android
    @RIcter 一个框架既然承担了过滤的部分,那么就应该把过滤做好了。而有些人即使不了解框架,至少也可以看到乌云上 TP 官方承认了有问题,而什么都不看的,真的就只能呵呵了。所以这贴我自己都不想回了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   988 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 18:42 · PVG 02:42 · LAX 10:42 · JFK 13:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.