都来说说 ThinkPHP 的安全问题吧,乌云上的漏洞一个接一个啊

2014-12-20 11:27:07 +08:00
 abelyao
这两天又爆出 SQL 注入了,搜一下真是一个接一个:
http://www.wooyun.org/searchbug.php?q=VGhpbmtwaHA%3D&showall=1

这货是否真的从设计理念上就存在问题?
6138 次点击
所在节点    信息安全
12 条回复
tabris17
2014-12-20 12:25:07 +08:00
框架导致SQL注入?难道不是框架使用者不良编程习惯导致的?
abelyao
2014-12-20 12:43:48 +08:00
@tabris17 呵呵
x86
2014-12-20 12:45:43 +08:00
有料的不会在这说出来吧
xoxo
2014-12-20 14:40:11 +08:00
楼主提的?呵呵连篇
ksc010
2014-12-20 17:14:04 +08:00
@tabris17 看了修复记录,框架问题
用TP的赶紧打补丁吧 擦
mahone3297
2014-12-20 18:34:12 +08:00
不用就没问题了。。
abelyao
2014-12-20 19:04:05 +08:00
@mahone3297 现在早已经不用了,但是一个国产著名的框架,多关注一下自然是好的
abelyao
2014-12-20 19:05:48 +08:00
@xoxo 乌云上的不是我提的
yakczh
2014-12-20 20:57:19 +08:00
这也说明了国内phper的水平
xuhaoyangx
2014-12-21 10:43:59 +08:00
@abelyao = =用啥php框架
RIcter
2014-12-21 22:53:21 +08:00
@xoxo
@tabris17
ˊ_>ˋph提的,洞主我也认识,私下问过。
没看过细节就别呵呵,确实是框架的注入。
细节我看过,I函数获取用户输入的时候,可以绕过过滤导致注入。

有些人啊ˊ_>ˋ
abelyao
2014-12-22 00:56:00 +08:00
@RIcter 一个框架既然承担了过滤的部分,那么就应该把过滤做好了。而有些人即使不了解框架,至少也可以看到乌云上 TP 官方承认了有问题,而什么都不看的,真的就只能呵呵了。所以这贴我自己都不想回了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/155280

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX