ThinkPHP框架安全实现分析(thinkphp框架安装)

推荐整理分享ThinkPHP框架安全实现分析(thinkphp框架安装)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:thinkphp 安全,thinkphp框架怎么用,thinkphp框架结构,thinkphp5.0框架,thinkphp3.2框架,thinkphp框架作用,thinkphp框架结构,thinkphp框架作用,内容如对您有帮助，希望把文章链接给更多的朋友！

ThinkPHP框架是国内比较流行的PHP框架之一，虽然跟国外的那些个框架没法比，但优点在于，恩，中文手册很全面。最近研究SQL注入，之前用TP框架的时候因为底层提供了安全功能，在开发过程中没怎么考虑安全问题。

一、不得不说的I函数

TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据，比如I('get.')、I('post.id')，然后用htmlspecialchars函数（默认情况下）进行处理。

如果需要采用其他的方法进行安全过滤，可以从/ThinkPHP/Conf/convention.php中设置：

从/ThinkPHP/Common/functions.php中可以找到I函数，源码如下：

恩，函数基本分成三块：第一块，获取各种格式的数据。第二块，对获取的数据进行循环编码，不管是二维数组还是三维数组。第三块，也就是倒数第二行，调用了think_filter对数据进行了最后一步的神秘处理。

让我们先来追踪一下think_filter函数：

这个函数很简单，一眼就可以看出来，在一些特定的关键字后面加个空格。

但是这个叫think_filter的函数，仅仅加了一个空格，到底起到了什么过滤的作用？

我们都知道重要的逻辑验证，如验证是否已登录，用户是否能购买某商品等，必须从服务器端验证，如果从前端验证的话，就很容易被绕过。同一个道理，在程序中，in/exp一类的逻辑结构，最好也是由服务器端来控制。

当从传递到服务器端的数据是这样：id[0]=in&id[1]=1,2,3，如果没有think_filter函数的话，会被解析成下表中的1，也就会被当成服务器端逻辑解析。但如果变成如下表2的样子，因为多了一个空格，无法被匹配解析，也就避免了漏洞。

二、SQL注入

相关的文件为:/ThinkPHP/Library/Think/Db.class.php(在3.2.3中改为了/ThinkPHP/Library/Think/Db/Driver.class.php) 以及 /ThinkPHP/Library/Think/Model.class.php。其中Model.class.php文件提供的是curd直接调用的函数，直接对外提供接口，Driver.class.php中的函数被curd操作间接调用。

大概说一下TP的处理思路:

首先将Model类实例化为一个user对象，然后调用user对象中的where函数处理$map，也就是将$map进行一些格式化处理之后赋值给user对象的成员变量$options（如果有其他的连贯操作，也是先赋值给user对象的对应成员变量，而不是直接拼接SQL语句，所以在写连贯操作的时候，无需像拼接SQL语句一样考虑关键字的顺序），接下来调用find函数。

find函数会调用底层的，也就是driver类中的函数——select来获取数据。到了select函数，又是另一个故事了。

select除了要处理curd操作，还要处理pdo绑定，我们这里只关心curd操作，所以在select中调用了buildSelectSql，处理分页信息，并且调用parseSQL按照既定的顺序把SQL语句组装进去。

虽然拼接SQL语句所需要的参数已经全部放在成员变量里了，但是格式不统一，有可能是字符串格式的，有可能是数组格式的，还有可能是TP提供的特殊查询格式，比如：$data['id']=array('gt','');，所以在拼接之前，还要调用各自的处理函数，进行统一的格式化处理。我选取了parseWhere这个复杂的典型来分析。

关于安全方面的，如果用I函数来获取数据，那么会默认进行htmlspecialchars处理，能有效抵御xss攻击，但是对SQL注入没有多大影响。

在过滤有关SQL注入有关的符号的时候，TP的做法很机智：先是按正常逻辑处理用户的输入，然后在最接近最终的SQL语句的parseWhere、parseHaving等函数中进行安全处理。这样的顺序避免了在处理的过程中出现注入。

当然处理的方法是最普通的addslashes，根据死在沙滩上的前浪们说，推荐使用mysql_real_escape_string来进行过滤，但是这个函数只能在已经连接了数据库的前提下使用。

感觉TP在这个地方可以做一下优化，毕竟走到这一步的都是连接了数据库的。

恩，接下来，分析开始：

先说几个Model对象中的成员变量：

where函数的逻辑很简单，如果是where('id=%d&name=%s',array($id,$name))这种格式，那就对$id,$name变量调用mysql里的escapeString进行处理。escapeString的实质是调用mysql_real_escape_string、addslashes等函数进行处理。

最后将分析之后的数组赋值到Model对象的成员函数——$where中供下一步处理。

再分析find函数：

$Pk为主键，$options为表达式参数，本函数的作用就是完善成员变量——options数组，然后调用db层的select函数查询数据，处理后返回数据。

跟进_parseOptions函数：

本函数的结构大概是，先获取了表名，模型名，再对数据进行处理：如果该条数据不在数据库字段内，则做出异常处理或者删除掉该条数据。否则，进行_parseType处理。parseType此处不再跟进，功能为:数据类型检测,强制类型转换包括int,float,bool型的三种数据。

函数运行到此处，就该把处理好的数据传到db层的select函数里了。此时的查询条件$options中的int,float,bool类型的数据都已经进行了强制类型转换，where（）函数中的字符串（非数组格式的查询）也进行了addslashes等处理。

继续追踪到select函数，就到了driver对象中了，还是先列举几个有用的成员变量：

版本3.2.3经过改进之后，select精简了不少。parseBind函数是绑定参数，用于pdo查询，此处不表。

buildSelectSql（）函数及其后续调用如下：

可以看到，在parseSql中用正则表达式拼接了sql语句，但并没有直接的去处理各种插叙你的数据格式，而是在解析变量的过程中调用了多个函数，此处拿parseWhere举例子。

上面的两个函数很长，我们再精简一些来看：parseWhere首先判断查询数据是不是字符串，如果是字符串，直接返回字符串，否则，遍历查询条件的数组，挨个解析。

由于TP支持_string，_complex之类的特殊查询，调用了parseThinkWhere来处理，对于普通查询，就调用了parseWhereItem。

在各自的处理过程中，都调用了parseValue，追踪一下，其实是用了addslashes来过滤，虽然addslashes在非utf-8编码的页面中会造成宽字节注入，但是如果页面和数据库均正确编码的话，还是没什么问题的。

YII Framework框架教程之使用YIIC快速创建YII应用详解 本文实例讲述了YIIFramework框架使用YIIC快速创建YII应用的方法。分享给大家供大家参考，具体如下：yii提供了强大的命令行工具来快速的创建相关组件和

YII Framework框架使用YIIC快速创建YII应用之migrate用法实例详解 本文实例讲述了YIIFramework框架使用YIIC快速创建YII应用之migrate用法。分享给大家供大家参考，具体如下：yiimigrate查看帮助/*/www/yii_dev/yii/framework#phpyiicmigra

Yii使用migrate命令执行sql语句的方法 本文实例讲述了Yii使用migrate命令执行sql语句的方法。分享给大家供大家参考，具体如下：Yii2自带一个强大的命令行管理工具，在windows下打卡cmd命令窗