當前位置:首頁 > CMS教程 > Thinkphp > 列表

ThinkPHP框架安全實現分析

發布: 來源: PHP粉絲網  添加日期:2019-11-18 17:41:27 瀏覽: 評論:0 

ThinkPHP框架是國內比較流行的PHP框架之一,雖然跟國外的那些個框架沒法比,但優點在于,恩,中文手冊很全面。最近研究SQL注入,之前用TP框架的時候因為底層提供了安全功能,在開發過程中沒怎么考慮安全問題。

一、不得不說的I函數

TP系統提供了I函數用于輸入變量的過濾。整個函數主體的意義就是獲取各種格式的數據,比如I('get.')、I('post.id'),然后用htmlspecialchars函數(默認情況下)進行處理。

如果需要采用其他的方法進行安全過濾,可以從/ThinkPHP/Conf/convention.php中設置:

  1. 'DEFAULT_FILTER'    => 'strip_tags'
  2.  
  3. //也可以設置多種過濾方法 
  4.  
  5. 'DEFAULT_FILTER'    => 'strip_tags,stripslashes'

從/ThinkPHP/Common/functions.php中可以找到I函數,源碼如下:

  1. /** 
  2.  
  3.  * 獲取輸入參數 支持過濾和默認值 
  4.  
  5.  * 使用方法: 
  6.  
  7.  *  
  8.  
  9.  * I('id',0); 獲取id參數 自動判斷get或者post 
  10.  
  11.  * I('post.name','','htmlspecialchars'); 獲取$_POST['name'] 
  12.  
  13.  * I('get.'); 獲取$_GET 
  14.  
  15.  * 
  16.  
  17.  * @param string $name 變量的名稱 支持指定類型 
  18.  
  19.  * @param mixed $default 不存在的時候默認值 
  20.  
  21.  * @param mixed $filter 參數過濾方法 
  22.  
  23.  * @param mixed $datas 要獲取的額外數據源 
  24.  
  25.  * @return mixed 
  26.  
  27.  */ 
  28.  
  29. function I($name,$default='',$filter=null,$datas=null) { 
  30.  
  31.   static $_PUT  =  null; 
  32.  
  33.   if(strpos($name,'/')){ // 指定修飾符 
  34.  
  35.     list($name,$type)   =  explode('/',$name,2); 
  36.  
  37.   }elseif(C('VAR_AUTO_STRING')){ // 默認強制轉換為字符串 
  38.  
  39.     $type  =  's'
  40.  
  41.   } 
  42.  
  43.   /*根據$name的格式獲取數據:先判斷參數的來源,然后再根據各種格式獲取數據*/ 
  44.  
  45.   if(strpos($name,'.')) {list($method,$name) =  explode('.',$name,2);} // 指定參數來源 
  46.  
  47.   else{$method =  'param';}//設定為自動獲取 
  48.  
  49.   switch(strtolower($method)) { 
  50.  
  51.     case 'get'   :  $input =& $_GET;break
  52.  
  53.     case 'post'  :  $input =& $_POST;break
  54.  
  55.     case 'put'   :  /*此處省略*/ 
  56.  
  57.     case 'param'  :  /*此處省略*/ 
  58.  
  59.     case 'path'  :  /*此處省略*/ 
  60.  
  61.   } 
  62.  
  63.   /*對獲取的數據進行過濾*/ 
  64.  
  65.   if('' // 獲取全部變量 
  66.  
  67.     $data    =  $input
  68.  
  69.     $filters  =  isset($filter)?$filter:C('DEFAULT_FILTER'); 
  70.  
  71.     if($filters) { 
  72.  
  73.       if(is_string($filters)){$filters  =  explode(',',$filters);} //為多種過濾方法提供支持 
  74.  
  75.       foreach($filters as $filter){ 
  76.  
  77.         $data  =  array_map_recursive($filter,$data); //循環過濾 
  78.  
  79.       } 
  80.  
  81.     } 
  82.  
  83.   }elseif(isset($input[$name])) { // 取值操作 
  84.  
  85.     $data    =  $input[$name]; 
  86.  
  87.     $filters  =  isset($filter)?$filter:C('DEFAULT_FILTER'); 
  88.  
  89.     if($filters) {   /*對參數進行過濾,支持正則表達式驗證*/ 
  90.  
  91.       /*此處省略*/ 
  92.  
  93.     } 
  94.  
  95.     if(!emptyempty($type)){ //如果設定了強制轉換類型 
  96.  
  97.       switch(strtolower($type)){ 
  98.  
  99.         case 'a'$data = (array)$data;break;  // 數組  
  100.  
  101.         case 'd'$data = (int)$data;break;  // 數字  
  102.  
  103.         case 'f'$data = (float)$data;break;  // 浮點   
  104.  
  105.         case 'b'$data = (boolean)$data;break;  // 布爾 
  106.  
  107.         case 's':  // 字符串 
  108.  
  109.         default:$data  =  (string)$data
  110.  
  111.       } 
  112.  
  113.     } 
  114.  
  115.   }else// 變量默認值 
  116.  
  117.     $data    =  isset($default)?$default:null; 
  118. //phpfensi.com 
  119.   } 
  120.  
  121.   is_array($data) && array_walk_recursive($data,'think_filter'); //如果$data是數組,那么用think_filter對數組過濾 
  122.  
  123.   return $data
  124.  

恩,函數基本分成三塊:

第一塊,獲取各種格式的數據。

第二塊,對獲取的數據進行循環編碼,不管是二維數組還是三維數組。

第三塊,也就是倒數第二行,調用了think_filter對數據進行了最后一步的神秘處理。

讓我們先來追蹤一下think_filter函數:

  1. //1536行 版本3.2.3最新添加 
  2.  
  3. function think_filter(&$value){// 過濾查詢特殊字符   
  4.  
  5.   if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){     
  6.  
  7.     $value .= ' ';   
  8.  
  9.   } 
  10.  

這個函數很簡單,一眼就可以看出來,在一些特定的關鍵字后面加個空格。

但是這個叫think_filter的函數,僅僅加了一個空格,到底起到了什么過濾的作用?

我們都知道重要的邏輯驗證,如驗證是否已登錄,用戶是否能購買某商品等,必須從服務器端驗證,如果從前端驗證的話,就很容易被繞過。同一個道理,在程序中,in/exp一類的邏輯結構,最好也是由服務器端來控制。

當從傳遞到服務器端的數據是這樣:id[0]=in&id[1]=1,2,3,如果沒有think_filter函數的話,會被解析成下表中的1,也就會被當成服務器端邏輯解析。但如果變成如下表2的樣子,因為多了一個空格,無法被匹配解析,也就避免了漏洞。

  1. $data['id']=array('in'=>'1,2,3')  
  2.  
  3. //經過think_filter過濾之后,會變成介個樣子: 
  4.  
  5. $data['id']=array('in '=>'1,2,3'

二、SQL注入

相關的文件為:/ThinkPHP/Library/Think/Db.class.php(在3.2.3中改為了/ThinkPHP/Library/Think/Db/Driver.class.php) 以及 /ThinkPHP/Library/Think/Model.class.php。其中Model.class.php文件提供的是curd直接調用的函數,直接對外提供接口,Driver.class.php中的函數被curd操作間接調用。

此次主要分析如下語句:

M('user')->where($map)->find();  //在user表根據$map的條件檢索出一條數據

大概說一下TP的處理思路:

首先將Model類實例化為一個user對象,然后調用user對象中的where函數處理$map,也就是將$map進行一些格式化處理之后賦值給user對象的成員變量$options(如果有其他的連貫操作,也是先賦值給user對象的對應成員變量,而不是直接拼接SQL語句,所以在寫連貫操作的時候,無需像拼接SQL語句一樣考慮關鍵字的順序),接下來調用find函數。

find函數會調用底層的,也就是driver類中的函數——select來獲取數據。到了select函數,又是另一個故事了。

select除了要處理curd操作,還要處理pdo綁定,我們這里只關心curd操作,所以在select中調用了buildSelectSql,處理分頁信息,并且調用parseSQL按照既定的順序把SQL語句組裝進去。

雖然拼接SQL語句所需要的參數已經全部放在成員變量里了,但是格式不統一,有可能是字符串格式的,有可能是數組格式的,還有可能是TP提供的特殊查詢格式,比如:$data['id']=array('gt','100');,所以在拼接之前,還要調用各自的處理函數,進行統一的格式化處理。我選取了parseWhere這個復雜的典型來分析。

關于安全方面的,如果用I函數來獲取數據,那么會默認進行htmlspecialchars處理,能有效抵御xss攻擊,但是對SQL注入沒有多大影響。

在過濾有關SQL注入有關的符號的時候,TP的做法很機智:先是按正常邏輯處理用戶的輸入,然后在最接近最終的SQL語句的parseWhere、parseHaving等函數中進行安全處理。這樣的順序避免了在處理的過程中出現注入。

當然處理的方法是最普通的addslashes,根據死在沙灘上的前浪們說,推薦使用mysql_real_escape_string來進行過濾,但是這個函數只能在已經連接了數據庫的前提下使用。

感覺TP在這個地方可以做一下優化,畢竟走到這一步的都是連接了數據庫的。

恩,接下來,分析開始:

先說幾個Model對象中的成員變量:

  1. // 主鍵名稱 
  2.  
  3. protected $pk   = 'id'
  4.  
  5. // 字段信息 
  6.  
  7. protected $fields = array(); 
  8.  
  9. // 數據信息 
  10.  
  11. protected $data  = array(); 
  12.  
  13. // 查詢表達式參數 
  14.  
  15. protected $options = array(); 
  16.  
  17. // 鏈操作方法列表 
  18.  
  19. protected $methods = array('strict','order','alias','having','group','lock','distinct','auto','filter','validate','result','token','index','force'
  20.  
  21. 接下來分析where函數: 
  22.  
  23. public function where($where,$parse=null){ 
  24.  
  25.   //如果非數組格式,即where('id=%d&name=%s',array($id,$name)),對傳遞到字符串中的數組調用mysql里的escapeString進行處理 
  26.  
  27.   if(!is_null($parse) && is_string($where)) {  
  28.  
  29.     if(!is_array($parse)){ $parse = func_get_args();array_shift($parse);} 
  30.  
  31.     $parse = array_map(array($this->db,'escapeString'),$parse); 
  32.  
  33.     $where = vsprintf($where,$parse); //vsprintf() 函數把格式化字符串寫入變量中 
  34.  
  35.   }elseif(is_object($where)){ 
  36.  
  37.     $where =  get_object_vars($where); 
  38.  
  39.   } 
  40.  
  41.   if(is_string($where) && '' != $where){ 
  42.  
  43.     $map  =  array(); 
  44.  
  45.     $map['_string']  =  $where
  46.  
  47.     $where =  $map
  48.  
  49.   }    
  50.  
  51.   //將$where賦值給$this->where 
  52.  
  53.   if(isset($this->options['where'])){      
  54.  
  55.     $this->options['where'] =  array_merge($this->options['where'],$where); 
  56.  
  57.   }else
  58.  
  59.     $this->options['where'] =  $where
  60.  
  61.   } 
  62.  
  63.     //phpfensi.com 
  64.  
  65.   return $this
  66.  

where函數的邏輯很簡單,如果是where('id=%d&name=%s',array($id,$name))這種格式,那就對$id,$name變量調用mysql里的escapeString進行處理。escapeString的實質是調用mysql_real_escape_string、addslashes等函數進行處理。

最后將分析之后的數組賦值到Model對象的成員函數——$where中供下一步處理。

再分析find函數:

  1. //model.class.php  行721  版本3.2.3 
  2.  
  3. public function find($options=array()) { 
  4.  
  5.   if(is_numeric($options) || is_string($options)){ /*如果傳遞過來的數據是字符串,不是數組*/ 
  6.  
  7.     $where[$this->getPk()] =  $options
  8.  
  9.     $options        =  array(); 
  10.  
  11.     $options['where']    =  $where/*提取出查詢條件,并賦值*/ 
  12.  
  13.   } 
  14.  
  15.   // 根據主鍵查找記錄 
  16.  
  17.   $pk = $this->getPk(); 
  18.  
  19.   if (is_array($options) && (count($options) > 0) && is_array($pk)) { 
  20.  
  21.     /*構造復合主鍵查詢條件,此處省略*/ 
  22.  
  23.   } 
  24.  
  25.   $options['limit']  =  1;                 // 總是查找一條記錄 
  26.  
  27.   $options      =  $this->_parseOptions($options);   // 分析表達式 
  28.  
  29.   if(isset($options['cache'])){ 
  30.  
  31.     /*緩存查詢,此處省略*/ 
  32.  
  33.   } 
  34.  
  35.   $resultSet = $this->db->select($options); 
  36.  
  37.   if(false === $resultSet){  return false;} 
  38.  
  39.   if(emptyempty($resultSet)) {  return null; }      // 查詢結果為空     
  40.  
  41.   if(is_string($resultSet)){  return $resultSet;}  //查詢結果為字符串 
  42.  
  43.   // 讀取數據后的處理,此處省略簡寫 
  44.  
  45.   $this->data = $this->_read_data($resultSet[0]); 
  46.  
  47.   return $this->data; 
  48.  

$Pk為主鍵,$options為表達式參數,本函數的作用就是完善成員變量——options數組,然后調用db層的select函數查詢數據,處理后返回數據。

跟進_parseOptions函數:

  1. protected function _parseOptions($options=array()) { //分析表達式 
  2.  
  3.   if(is_array($options)){ 
  4.  
  5.     $options = array_merge($this->options,$options); 
  6.  
  7.   } 
  8.  
  9.   /*獲取表名,此處省略*/ 
  10.  
  11.   /*添加數據表別名,此處省略*/ 
  12.  
  13.   $options['model']    =  $this->name;// 記錄操作的模型名稱 
  14.  
  15.   /*對數組查詢條件進行字段類型檢查,如果在合理范圍內,就進行過濾處理;否則拋出異常或者刪除掉對應字段*/ 
  16.  
  17.   if(isset($options['where']) && is_array($options['where']) && !emptyempty($fields) && !isset($options['join'])){ 
  18.  
  19.     foreach ($options['where'as $key=>$val){ 
  20.  
  21.       $key = trim($key); 
  22.  
  23.       if(in_array($key,$fields,true)){  //如果$key在數據庫字段內,過濾以及強制類型轉換之 
  24.  
  25.         if(is_scalar($val)) {  
  26.  
  27.         /*is_scalar 檢測是否為標量。標量是指integer、float、string、boolean的變量,array則不是標量。*/     
  28.  
  29.           $this->_parseType($options['where'],$key); 
  30.  
  31.         } 
  32.  
  33.       }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){ 
  34.  
  35.         // 如果$key不是數字且第一個字符不是_,不存在.(|&等特殊字符 
  36.  
  37.         if(!emptyempty($this->options['strict'])){  //如果是strict模式,拋出異常 
  38.  
  39.           E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']'); 
  40.  
  41.         }   
  42.  
  43.         unset($options['where'][$key]); //unset掉對應的值 
  44.  
  45.       } 
  46.  
  47.     } 
  48.  
  49.   }  
  50. //phpfensi.com 
  51.   $this->options =  array();      // 查詢過后清空sql表達式組裝 避免影響下次查詢 
  52.  
  53.   $this->_options_filter($options);    // 表達式過濾 
  54.  
  55.   return $options
  56.  

本函數的結構大概是,先獲取了表名,模型名,再對數據進行處理:如果該條數據不在數據庫字段內,則做出異常處理或者刪除掉該條數據。否則,進行_parseType處理。parseType此處不再跟進,功能為:數據類型檢測,強制類型轉換包括int,float,bool型的三種數據。

函數運行到此處,就該把處理好的數據傳到db層的select函數里了。此時的查詢條件$options中的int,float,bool類型的數據都已經進行了強制類型轉換,where()函數中的字符串(非數組格式的查詢)也進行了addslashes等處理。

繼續追蹤到select函數,就到了driver對象中了,還是先列舉幾個有用的成員變量:

  1. // 數據庫表達式 
  2.  
  3. protected $exp = array('eq'=>'=','neq'=>'<>','gt'=>'>','egt'=>'>=','lt'=>'<','elt'=>'<=','notlike'=>'NOT LIKE','like'=>'LIKE','in'=>'IN','notin'=>'NOT IN','not in'=>'NOT IN','between'=>'BETWEEN','not between'=>'NOT BETWEEN','notbetween'=>'NOT BETWEEN'); 
  4.  
  5. // 查詢表達式 
  6.  
  7. protected $selectSql = 'SELECT%DISTINCT% %FIELD% FROM %TABLE%%FORCE%%JOIN%%WHERE%%GROUP%%HAVING%%ORDER%%LIMIT% %UNION%%LOCK%%COMMENT%'
  8.  
  9. // 當前SQL指令 
  10.  
  11. protected $queryStr  = ''
  12.  
  13. // 參數綁定 
  14.  
  15. protected $bind     =  array(); 
  16.  
  17. select函數: 
  18.  
  19. public function select($options=array()) { 
  20.  
  21.   $this->model =  $options['model']; 
  22.  
  23.   $this->parseBind(!emptyempty($options['bind'])?$options['bind']:array()); 
  24.  
  25.   $sql  = $this->buildSelectSql($options); 
  26.  
  27.   $result  = $this->query($sql,!emptyempty($options['fetch_sql']) ? true : false); 
  28.  
  29.   return $result
  30.  

版本3.2.3經過改進之后,select精簡了不少。parseBind函數是綁定參數,用于pdo查詢,此處不表。

buildSelectSql()函數及其后續調用如下:

  1. public function buildSelectSql($options=array()) { 
  2.  
  3.   if(isset($options['page'])) { 
  4.  
  5.     /*頁碼計算及處理,此處省略*/ 
  6.  
  7.   } 
  8.  
  9.   $sql =  $this->parseSql($this->selectSql,$options); 
  10.  
  11.   return $sql
  12.  
  13.  
  14. /* 替換SQL語句中表達式*/ 
  15.  
  16. public function parseSql($sql,$options=array()){ 
  17.  
  18.   $sql  = str_replace
  19.  
  20.     array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'), 
  21.  
  22.     array
  23.  
  24.       $this->parseTable($options['table']), 
  25.  
  26.       $this->parseDistinct(isset($options['distinct'])?$options['distinct']:false), 
  27.  
  28.       $this->parseField(!emptyempty($options['field'])?$options['field']:'*'), 
  29.  
  30.       $this->parseJoin(!emptyempty($options['join'])?$options['join']:''), 
  31.  
  32.       $this->parseWhere(!emptyempty($options['where'])?$options['where']:''), 
  33.  
  34.       $this->parseGroup(!emptyempty($options['group'])?$options['group']:''), 
  35.  
  36.       $this->parseHaving(!emptyempty($options['having'])?$options['having']:''), 
  37.  
  38.       $this->parseOrder(!emptyempty($options['order'])?$options['order']:''), 
  39.  
  40.       $this->parseLimit(!emptyempty($options['limit'])?$options['limit']:''), 
  41.  
  42.       $this->parseUnion(!emptyempty($options['union'])?$options['union']:''), 
  43.  
  44.       $this->parseLock(isset($options['lock'])?$options['lock']:false), 
  45.  
  46.       $this->parseComment(!emptyempty($options['comment'])?$options['comment']:''), 
  47. //phpfensi.com 
  48.       $this->parseForce(!emptyempty($options['force'])?$options['force']:''
  49.  
  50.     ),$sql); 
  51.  
  52.   return $sql
  53.  

可以看到,在parseSql中用正則表達式拼接了sql語句,但并沒有直接的去處理各種插敘你的數據格式,而是在解析變量的過程中調用了多個函數,此處拿parseWhere舉例子。

  1. protected function parseWhere($where) { 
  2.  
  3.   $whereStr = ''
  4.  
  5.   if(is_string($where)) {   // 直接使用字符串條件 
  6.  
  7.     $whereStr = $where
  8.  
  9.   } 
  10.  
  11.   else{            // 使用數組表達式 
  12.  
  13.     /*設定邏輯規則,如or and xor等,默認為and,此處省略*/ 
  14.  
  15.     $operate=' AND '
  16.  
  17.     /*解析特殊格式的表達式并且格式化輸出*/ 
  18.  
  19.     foreach ($where as $key=>$val){ 
  20.  
  21.       if(0===strpos($key,'_')) {  // 解析特殊條件表達式 
  22.  
  23.         $whereStr  .= $this->parseThinkWhere($key,$val); 
  24.  
  25.       } 
  26.  
  27.       else{            // 查詢字段的安全過濾 
  28.  
  29.         $multi = is_array($val) && isset($val['_multi']); //判斷是否有復合查詢 
  30.  
  31.         $key  = trim($key); 
  32.  
  33.         /*處理字段中包含的| &邏輯*/ 
  34.  
  35.         if(strpos($key,'|')) { // 支持 name|title|nickname 方式定義查詢字段 
  36.  
  37.           /*將|換成or,并格式化輸出,此處省略*/ 
  38.  
  39.         } 
  40.  
  41.         elseif(strpos($key,'&')){ 
  42.  
  43.           /*將&換成and,并格式化輸出,此處省略*/ 
  44.  
  45.         } 
  46.  
  47.         else
  48.  
  49.           $whereStr .= $this->parseWhereItem($this->parseKey($key),$val); 
  50.  
  51.         } 
  52.  
  53.       } 
  54.  
  55.       $whereStr .= $operate
  56.  
  57.     } 
  58.  
  59.     $whereStr = substr($whereStr,0,-strlen($operate)); 
  60.  
  61.   } 
  62.  
  63.   return emptyempty($whereStr)?'':' WHERE '.$whereStr
  64.  
  65.  
  66. // where子單元分析 
  67.  
  68. protected function parseWhereItem($key,$val) { 
  69.  
  70.   $whereStr = ''
  71.  
  72.   if(is_array($val)){ 
  73.  
  74.     if(is_string($val[0])){ 
  75.  
  76.       $exp  =  strtolower($val[0]); 
  77.  
  78.       //如果是$map['id']=array('eq',100)一類的結構,那么解析成數據庫可執行格式 
  79.  
  80.       if(preg_match('/^(eq|neq|gt|egt|lt|elt)$/',$exp)){ 
  81.  
  82.         $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]); 
  83.  
  84.       } 
  85.  
  86.       //如果是模糊查找格式 
  87.  
  88.       elseif(preg_match('/^(notlike|like)$/',$exp)){// 模糊查找,$map['name']=array('like','thinkphp%'); 
  89.  
  90.         if(is_array($val[1])) { //解析格式如下:$map['b'] =array('notlike',array('%thinkphp%','%tp'),'AND'); 
  91.  
  92.           $likeLogic =  isset($val[2])?strtoupper($val[2]):'OR';  //如果沒有設定邏輯結構,則默認為OR 
  93.  
  94.           if(in_array($likeLogic,array('AND','OR','XOR'))){ 
  95.  
  96.             /* 根據邏輯結構,組合語句,此處省略*/ 
  97.  
  98.             $whereStr .= '('.implode(' '.$likeLogic.' ',$like).')';              
  99.  
  100.           } 
  101.  
  102.         } 
  103.  
  104.         else
  105.  
  106.           $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]); 
  107.  
  108.         } 
  109.  
  110.       }elseif('bind' == $exp ){ // 使用表達式,pdo數據綁定 
  111.  
  112.         $whereStr .= $key.' = :'.$val[1]; 
  113.  
  114.       }elseif('exp' == $exp ){ // 使用表達式 $map['id'] = array('exp',' IN (1,3,8) '); 
  115.  
  116.         $whereStr .= $key.' '.$val[1]; 
  117.  
  118.       }elseif(preg_match('/^(notin|not in|in)$/',$exp)){ //IN運算 $map['id'] = array('not in','1,5,8'); 
  119.  
  120.         if(isset($val[2]) && 'exp'==$val[2]){ 
  121.  
  122.           $whereStr .= $key.' '.$this->exp[$exp].' '.$val[1]; 
  123.  
  124.         }else
  125.  
  126.           if(is_string($val[1])) { 
  127.  
  128.              $val[1] = explode(',',$val[1]); 
  129.  
  130.           } 
  131.  
  132.           $zone   =  implode(',',$this->parseValue($val[1])); 
  133.  
  134.           $whereStr .= $key.' '.$this->exp[$exp].' ('.$zone.')'
  135.  
  136.         } 
  137.  
  138.       }elseif(preg_match('/^(notbetween|not between|between)$/',$exp)){ //BETWEEN運算 
  139.  
  140.         $data = is_string($val[1])? explode(',',$val[1]):$val[1]; 
  141.  
  142.         $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($data[0]).' AND '.$this->parseValue($data[1]); 
  143.  
  144.       }else//否則拋出異常 
  145.  
  146.         E(L('_EXPRESS_ERROR_').':'.$val[0]); 
  147.  
  148.       } 
  149.  
  150.     } 
  151.  
  152.     else{  //解析如:$map['status&score&title'] =array('1',array('gt','0'),'thinkphp','_multi'=>true); 
  153.  
  154.       $count = count($val); 
  155.  
  156.       $rule = isset($val[$count-1]) ? (is_array($val[$count-1]) ? strtoupper($val[$count-1][0]) : strtoupper($val[$count-1]) ) : '' ;  
  157.  
  158.       if(in_array($rule,array('AND','OR','XOR'))){ 
  159.  
  160.         $count = $count -1; 
  161.  
  162.       }else
  163.  
  164.         $rule  = 'AND'
  165.  
  166.       } 
  167.  
  168.       for($i=0;$i<$count;$i++){ 
  169.  
  170.         $data = is_array($val[$i])?$val[$i][1]:$val[$i]; 
  171.  
  172.         if('exp'==strtolower($val[$i][0])) { 
  173.  
  174.           $whereStr .= $key.' '.$data.' '.$rule.' '
  175.  
  176.         }else
  177.  
  178.           $whereStr .= $this->parseWhereItem($key,$val[$i]).' '.$rule.' '
  179.  
  180.         } 
  181.  
  182.       } 
  183.  
  184.       $whereStr = '( '.substr($whereStr,0,-4).' )'
  185.  
  186.     } 
  187.  
  188.   } 
  189.  
  190.   else { 
  191.  
  192.     //對字符串類型字段采用模糊匹配 
  193.  
  194.     $likeFields  =  $this->config['db_like_fields']; 
  195.  
  196.     if($likeFields && preg_match('/^('.$likeFields.')$/i',$key)) { 
  197.  
  198.       $whereStr .= $key.' LIKE '.$this->parseValue('%'.$val.'%'); 
  199.  
  200.     }else { 
  201.  
  202.       $whereStr .= $key.' = '.$this->parseValue($val); 
  203.  
  204.     } 
  205.  
  206.   } 
  207.  
  208.   return $whereStr
  209.  
  210.  
  211. protected function parseThinkWhere($key,$val) {   //解析特殊格式的條件 
  212.  
  213.   $whereStr  = ''
  214.  
  215.   switch($key) { 
  216.  
  217.     case '_string':$whereStr = $val;break;                 // 字符串模式查詢條件 
  218.  
  219.     case '_complex':$whereStr = substr($this->parseWhere($val),6);break;  // 復合查詢條件 
  220.  
  221.     case '_query':// 字符串模式查詢條件 
  222.  
  223.       /*處理邏輯結構,并且格式化輸出字符串,此處省略*/ 
  224.  
  225.   } 
  226.  
  227.   return '( '.$whereStr.' )'
  228.  

上面的兩個函數很長,我們再精簡一些來看:parseWhere首先判斷查詢數據是不是字符串,如果是字符串,直接返回字符串,否則,遍歷查詢條件的數組,挨個解析。

由于TP支持_string,_complex之類的特殊查詢,調用了parseThinkWhere來處理,對于普通查詢,就調用了parseWhereItem。

在各自的處理過程中,都調用了parseValue,追蹤一下,其實是用了addslashes來過濾,雖然addslashes在非utf-8編碼的頁面中會造成寬字節注入,但是如果頁面和數據庫均正確編碼的話,還是沒什么問題的。

Tags: ThinkPHP 框架安全

分享到:

福利彩票25选5开奖结果