一、不得不说的I函数
TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据,比如I('get.')、I('post.id'),然后用htmlspecialchars函数(默认情况下)进行处理。如果需要采用其他的方法进行安全过滤,可以从/ThinkPHP/Conf/convention.php中设置:
'DEFAULT_FILTER' => 'strip_tags',
//也可以设置多种过滤方法
'DEFAULT_FILTER' => 'strip_tags,stripslashes',
从/ThinkPHP/Common/functions.php中可以找到I函数,源码如下:
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
function I($name,$default='',$filter=null,$datas=null) {
-
static $_PUT = null;
-
if(strpos($name,'/')){
-
list($name,$type) = explode('/',$name,2);
-
}elseif(C('VAR_AUTO_STRING')){
-
$type = 's';
-
}
-
-
-
if(strpos($name,'.')) {list($method,$name) = explode('.',$name,2);}
-
else{$method = 'param';}
-
switch(strtolower($method)) {
-
case 'get' : $input =& $_GET;break;
-
case 'post' : $input =& $_POST;break;
-
case 'put' :
-
case 'param' :
-
case 'path' :
-
}
-
-
-
if(''
-
$data = $input;
-
$filters = isset($filter)?$filter:C('DEFAULT_FILTER');
-
if($filters) {
-
if(is_string($filters)){$filters = explode(',',$filters);}
-
foreach($filters as $filter){
-
$data = array_map_recursive($filter,$data);
-
}
-
}
-
}elseif(isset($input[$name])) {
-
$data = $input[$name];
-
$filters = isset($filter)?$filter:C('DEFAULT_FILTER');
-
if($filters) {
-
-
}
-
if(!emptyempty($type)){
-
switch(strtolower($type)){
-
case 'a': $data = (array)$data;break;
-
case 'd': $data = (int)$data;break;
-
case 'f': $data = (float)$data;break;
-
case 'b': $data = (boolean)$data;break;
-
case 's':
-
default:$data = (string)$data;
-
}
-
}
-
}else{
-
$data = isset($default)?$default:null;
-
}
-
-
is_array($data) && array_walk_recursive($data,'think_filter');
-
return $data;
-
}
恩,函数基本分成三块:第一块,获取各种格式的数据。第二块,对获取的数据进行循环编码,不管是二维数组还是三维数组。第三块,也就是倒数第二行,调用了think_filter对数据进行了最后一步的神秘处理。
让我们先来追踪一下think_filter函数:
-
-
function think_filter(&$value){
-
if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){
-
$value .= ' ';
-
}
-
}
这个函数很简单,一眼就可以看出来,在一些特定的关键字后面加个空格。但是这个叫think_filter的函数,仅仅加了一个空格,到底起到了什么过滤的作用?
我们都知道重要的逻辑验证,如验证是否已登录,用户是否能购买某商品等,必须从服务器端验证,如果从前端验证的话,就很容易被绕过。同一个道理,在程序中,in/exp一类的逻辑结构,最好也是由服务器端来控制。
当从传递到服务器端的数据是这样:id[0]=in&id[1]=1,2,3,如果没有think_filter函数的话,会被解析成下表中的1,也就会被当成服务器端逻辑解析。但如果变成如下表2的样子,因为多了一个空格,无法被匹配解析,也就避免了漏洞。
-
1. $data['id']=array('in'=>'1,2,3')
-
-
-
2. $data['id']=array('in '=>'1,2,3')
二、SQL注入
相关的文件为:/ThinkPHP/Library/Think/Db.class.php(在3.2.3中改为了/ThinkPHP/Library/Think/Db/Driver.class.php) 以及 /ThinkPHP/Library/Think/Model.class.php。其中Model.class.php文件提供的是curd直接调用的函数,直接对外提供接口,Driver.class.php中的函数被curd操作间接调用。
-
-
M('user')->where($map)->find();
大概说一下TP的处理思路。首先将Model类实例化为一个user对象,然后调用user对象中的where函数处理$map,也就是将$map进行一些格式化处理之后赋值给user对象的成员变量$options(如果有其他的连贯操作,也是先赋值给user对象的对应成员变量,而不是直接拼接SQL语句,所以在写连贯操作的时候,无需像拼接SQL语句一样考虑关键字的顺序),接下来调用find函数。find函数会调用底层的,也就是driver类中的函数——select来获取数据。到了select函数,又是另一个故事了。
select除了要处理curd操作,还要处理pdo绑定,我们这里只关心curd操作,所以在select中调用了buildSelectSql,处理分页信息,并且调用parseSQL按照既定的顺序把SQL语句组装进去。虽然拼接SQL语句所需要的参数已经全部放在成员变量里了,但是格式不统一,有可能是字符串格式的,有可能是数组格式的,还有可能是TP提供的特殊查询格式,比如:$data['id']=array('gt','100');,所以在拼接之前,还要调用各自的处理函数,进行统一的格式化处理。我选取了parseWhere这个复杂的典型来分析。
关于安全方面的,如果用I函数来获取数据,那么会默认进行htmlspecialchars处理,能有效抵御xss攻击,但是对SQL注入没有多大影响。在过滤有关SQL注入有关的符号的时候,TP的做法很机智:先是按正常逻辑处理用户的输入,然后在最接近最终的SQL语句的parseWhere、parseHaving等函数中进行安全处理。这样的顺序避免了在处理的过程中出现注入。当然处理的方法是最普通的addslashes,根据死在沙滩上的前浪们说,推荐使用mysql_real_escape_string来进行过滤,但是这个函数只能在已经连接了数据库的前提下使用。感觉TP在这个地方可以做一下优化,毕竟走到这一步的都是连接了数据库的。
恩,接下来,分析开始:
先说几个Model对象中的成员变量:
-
-
protected $pk = 'id';
-
-
protected $fields = array();
-
-
protected $data = array();
-
-
protected $options = array();
-
-
protected $methods = array('strict','order','alias','having','group','lock','distinct','auto','filter','validate','result','token','index','force')
接下来分析where函数:
-
public function where($where,$parse=null){
-
-
if(!is_null($parse) && is_string($where)) {
-
if(!is_array($parse)){ $parse = func_get_args();array_shift($parse);}
-
$parse = array_map(array($this->db,'escapeString'),$parse);
-
$where = vsprintf($where,$parse);
-
}elseif(is_object($where)){
-
$where = get_object_vars($where);
-
}
-
if(is_string($where) && '' != $where){
-
$map = array();
-
$map['_string'] = $where;
-
$where = $map;
-
}
-
-
-
if(isset($this->options['where'])){
-
$this->options['where'] = array_merge($this->options['where'],$where);
-
}else{
-
$this->options['where'] = $where;
-
}
-
-
return $this;
-
}
where函数的逻辑很简单,如果是where('id=%d&name=%s',array($id,$name))这种格式,那就对$id,$name变量调用mysql里的escapeString进行处理。escapeString的实质是调用mysql_real_escape_string、addslashes等函数进行处理。最后将分析之后的数组赋值到Model对象的成员函数——$where中供下一步处理。
再分析find函数:
-
-
public function find($options=array()) {
-
if(is_numeric($options) || is_string($options)){
-
$where[$this->getPk()] = $options;
-
$options = array();
-
$options['where'] = $where;
-
}
-
-
-
$pk = $this->getPk();
-
if (is_array($options) && (count($options) > 0) && is_array($pk)) {
-
-
}
-
-
$options['limit'] = 1;
-
$options = $this->_parseOptions($options);
-
-
if(isset($options['cache'])){
-
-
}
-
$resultSet = $this->db->select($options);
-
-
if(false === $resultSet){ return false;}
-
if(emptyempty($resultSet)) { return null; }
-
if(is_string($resultSet)){ return $resultSet;}
-
-
-
$this->data = $this->_read_data($resultSet[0]);
-
return $this->data;
-
}
$Pk为主键,$options为表达式参数,本函数的作用就是完善成员变量——options数组,然后调用db层的select函数查询数据,处理后返回数据。
跟进_parseOptions函数:
-
protected function _parseOptions($options=array()) {
-
if(is_array($options)){
-
$options = array_merge($this->options,$options);
-
}
-
-
-
-
-
$options['model'] = $this->name;
-
-
-
if(isset($options['where']) && is_array($options['where']) && !emptyempty($fields) && !isset($options['join'])){
-
foreach ($options['where'] as $key=>$val){
-
$key = trim($key);
-
if(in_array($key,$fields,true)){
-
if(is_scalar($val)) {
-
-
$this->_parseType($options['where'],$key);
-
}
-
}elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){
-
-
if(!emptyempty($this->options['strict'])){
-
E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']');
-
}
-
unset($options['where'][$key]);
-
}
-
}
-
}
-
$this->options = array();
-
$this->_options_filter($options);
-
return $options;
-
}
本函数的结构大概是,先获取了表名,模型名,再对数据进行处理:如果该条数据不在数据库字段内,则做出异常处理或者删除掉该条数据。否则,进行_parseType处理。parseType此处不再跟进,功能为:数据类型检测,强制类型转换包括int,float,bool型的三种数据。
函数运行到此处,就该把处理好的数据传到db层的select函数里了。此时的查询条件$options中的int,float,bool类型的数据都已经进行了强制类型转换,where()函数中的字符串(非数组格式的查询)也进行了addslashes等处理。
继续追踪到select函数,就到了driver对象中了,还是先列举几个有用的成员变量:
-
-
protected $exp = array('eq'=>'=','neq'=>'<>','gt'=>'>','egt'=>'>=','lt'=>'<','elt'=>'<=','notlike'=>'NOT LIKE','like'=>'LIKE','in'=>'IN','notin'=>'NOT IN','not in'=>'NOT IN','between'=>'BETWEEN','not between'=>'NOT BETWEEN','notbetween'=>'NOT BETWEEN');
-
-
protected $selectSql = 'SELECT%DISTINCT% %FIELD% FROM %TABLE%%FORCE%%JOIN%%WHERE%%GROUP%%HAVING%%ORDER%%LIMIT% %UNION%%LOCK%%COMMENT%';
-
-
protected $queryStr = '';
-
-
protected $bind = array();
select函数:
-
public function select($options=array()) {
-
$this->model = $options['model'];
-
$this->parseBind(!emptyempty($options['bind'])?$options['bind']:array());
-
$sql = $this->buildSelectSql($options);
-
$result = $this->query($sql,!emptyempty($options['fetch_sql']) ? true : false);
-
return $result;
-
}
版本3.2.3经过改进之后,select精简了不少。parseBind函数是绑定参数,用于pdo查询,此处不表。
buildSelectSql()函数及其后续调用如下:
-
public function buildSelectSql($options=array()) {
-
if(isset($options['page'])) {
-
-
}
-
$sql = $this->parseSql($this->selectSql,$options);
-
return $sql;
-
}
-
-
-
public function parseSql($sql,$options=array()){
-
$sql = str_replace(
-
array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'),
-
array(
-
$this->parseTable($options['table']),
-
$this->parseDistinct(isset($options['distinct'])?$options['distinct']:false),
-
$this->parseField(!emptyempty($options['field'])?$options['field']:'*'),
-
$this->parseJoin(!emptyempty($options['join'])?$options['join']:''),
-
$this->parseWhere(!emptyempty($options['where'])?$options['where']:''),
-
$this->parseGroup(!emptyempty($options['group'])?$options['group']:''),
-
$this->parseHaving(!emptyempty($options['having'])?$options['having']:''),
-
$this->parseOrder(!emptyempty($options['order'])?$options['order']:''),
-
$this->parseLimit(!emptyempty($options['limit'])?$options['limit']:''),
-
$this->parseUnion(!emptyempty($options['union'])?$options['union']:''),
-
$this->parseLock(isset($options['lock'])?$options['lock']:false),
-
$this->parseComment(!emptyempty($options['comment'])?$options['comment']:''),
-
$this->parseForce(!emptyempty($options['force'])?$options['force']:'')
-
),$sql);
-
return $sql;
-
}
可以看到,在parseSql中用正则表达式拼接了sql语句,但并没有直接的去处理各种插叙你的数据格式,而是在解析变量的过程中调用了多个函数,此处拿parseWhere举例子。
-
protected function parseWhere($where) {
-
$whereStr = '';
-
if(is_string($where)) {
-
$whereStr = $where;
-
}
-
else{
-
-
$operate=' AND ';
-
-
-
foreach ($where as $key=>$val){
-
if(0===strpos($key,'_')) {
-
$whereStr .= $this->parseThinkWhere($key,$val);
-
}
-
else{
-
$multi = is_array($val) && isset($val['_multi']);
-
$key = trim($key);
-
-
if(strpos($key,'|')) {
-
-
}
-
elseif(strpos($key,'&')){
-
-
}
-
else{
-
$whereStr .= $this->parseWhereItem($this->parseKey($key),$val);
-
}
-
}
-
$whereStr .= $operate;
-
}
-
$whereStr = substr($whereStr,0,-strlen($operate));
-
}
-
-
return emptyempty($whereStr)?'':' WHERE '.$whereStr;
-
}
-
-
-
protected function parseWhereItem($key,$val) {
-
$whereStr = '';
-
if(is_array($val)){
-
if(is_string($val[0])){
-
$exp = strtolower($val[0]);
-
-
if(preg_match('/^(eq|neq|gt|egt|lt|elt)$/',$exp)){
-
$whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]);
-
}
-
-
elseif(preg_match('/^(notlike|like)$/',$exp)){
-
if(is_array($val[1])) {
-
$likeLogic = isset($val[2])?strtoupper($val[2]):'OR';
-
if(in_array($likeLogic,array('AND','OR','XOR'))){
-
-
$whereStr .= '('.implode(' '.$likeLogic.' ',$like).')';
-
}
-
}
-
else{
-
$whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]);
-
}
-
}elseif('bind' == $exp ){
-
$whereStr .= $key.' = :'.$val[1];
-
}elseif('exp' == $exp ){
-
$whereStr .= $key.' '.$val[1];
-
}elseif(preg_match('/^(notin|not in|in)$/',$exp)){
-
if(isset($val[2]) && 'exp'==$val[2]){
-
$whereStr .= $key.' '.$this->exp[$exp].' '.$val[1];
-
}else{
-
if(is_string($val[1])) {
-
$val[1] = explode(',',$val[1]);
-
}
-
$zone = implode(',',$this->parseValue($val[1]));
-
$whereStr .= $key.' '.$this->exp[$exp].' ('.$zone.')';
-
}
-
}elseif(preg_match('/^(notbetween|not between|between)$/',$exp)){
-
$data = is_string($val[1])? explode(',',$val[1]):$val[1];
-
$whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($data[0]).' AND '.$this->parseValue($data[1]);
-
}else{
-
E(L('_EXPRESS_ERROR_').':'.$val[0]);
-
}
-
}
-
else{
-
$count = count($val);
-
$rule = isset($val[$count-1]) ? (is_array($val[$count-1]) ? strtoupper($val[$count-1][0]) : strtoupper($val[$count-1]) ) : '' ;
-
if(in_array($rule,array('AND','OR','XOR'))){
-
$count = $count -1;
-
}else{
-
$rule = 'AND';
-
}
-
for($i=0;$i<$count;$i++){
-
$data = is_array($val[$i])?$val[$i][1]:$val[$i];
-
if('exp'==strtolower($val[$i][0])) {
-
$whereStr .= $key.' '.$data.' '.$rule.' ';
-
}else{
-
$whereStr .= $this->parseWhereItem($key,$val[$i]).' '.$rule.' ';
-
}
-
}
-
$whereStr = '( '.substr($whereStr,0,-4).' )';
-
}
-
}
-
else {
-
-
$likeFields = $this->config['db_like_fields'];
-
if($likeFields && preg_match('/^('.$likeFields.')$/i',$key)) {
-
$whereStr .= $key.' LIKE '.$this->parseValue('%'.$val.'%');
-
}else {
-
$whereStr .= $key.' = '.$this->parseValue($val);
-
}
-
}
-
-
return $whereStr;
-
}
-
-
protected function parseThinkWhere($key,$val) {
-
$whereStr = '';
-
switch($key) {
-
case '_string':$whereStr = $val;break;
-
case '_complex':$whereStr = substr($this->parseWhere($val),6);break;
-
case '_query':
-
-
}
-
return '( '.$whereStr.' )';
-
}
上面的两个函数很长,我们再精简一些来看:parseWhere首先判断查询数据是不是字符串,如果是字符串,直接返回字符串,否则,遍历查询条件的数组,挨个解析。由于TP支持_string,_complex之类的特殊查询,调用了parseThinkWhere来处理,对于普通查询,就调用了parseWhereItem。在各自的处理过程中,都调用了parseValue,追踪一下,其实是用了addslashes来过滤,虽然addslashes在非utf-8编码的页面中会造成宽字节注入,但是如果页面和数据库均正确编码的话,还是没什么问题的。
(文/Friday FreeBuf)