ThinkPHP3.2.3版本安全更新think_filter函数

最新推荐文章于 2023-12-02 14:17:32 发布
最新推荐文章于 2023-12-02 14:17:32 发布
阅读量578 收藏
点赞数
分类专栏: php 文章标签: thinkphp3.2
原文链接:https://blog.csdn.net/weixin_34310785/article/details/85983268
版权

近日我们收到了一个关于3.2版本的漏洞提醒,官方已经第一时间进行处理和更新。由于3.2版本已经过了官方的维护和安全更新周期,而且大量的开发者也进行了二次开发,因此不再发布新版,官方仅进行安全公告和修复建议。请还在使用3.2版本的用户按照下面的方式进行安全修复(只需要修改一处核心内置公共函数代码)。

 

再次提示:无论是否修改了核心,参考下面的修复方式修复即可,不需要下载任何更新包和补丁包。顺便提醒下,如果你使用的是5.0或者5.1版本,也建议更新到最新版本,官方最近发布了安全更新,直接composer升级到最新版本即可。

 

找到ThinkPHP目录下的Common/functions.php文件,然后搜索think_filter函数,代码修改为:

 

    if (preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN|BIND)$/i', $value)) {

        $value .= ' ';

    }

 

然后清空项目的编译缓存文件,修复完毕!

toooooop8
关注
专栏目录
ThinkPHP3.2.3从php5升级到php7艰辛之路
sunny_lv的专栏
02-26 9415
       首先ThinkPHP3.2.3支持php7吗, 绝对支持。               windows下,之前用的项目是部署在Apache2.4.17+php5.x版本, 因为客户那边网络安全扫描,发现很多漏洞,其中有apache、php的高危漏洞,多达上百次, 急需修复,如不修复将面临站点关闭的风险。        于是联系软件供应商,那边之前答应配合升级,最终未能升级, 给到...
【安全漏洞】ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1653
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index中传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
ThinkPHP3.2版本安全更新
lxw1844912514的博客
04-17 763
近日我们收到了一个关于3.2版本的漏洞提醒,官方已经第一时间进行处理和更新。由于3.2版本已经过了官方的维护和安全更新周期,而且大量的开发者也进行了二次开发,因此不再发布新版,官方仅进行安全公告和修复建议。请还在使用3.2版本的用户按照下面的方式进行安全修复(只需要修改一处核心内置公共函数代码)。 再次提示:无论是否修改了核心,参考下面的修复方式修复即可,不需要下载任何更新包...
php3.2.3 升级,升级指导 · ThinkPHP3.2.3完全开发手册 · 看云
weixin_39715538的博客
03-17 267
本章旨在帮助使用3.1版本的用户更方便的升级到3.2版本,给出了升级步骤和建议。## 升级须知如果从3.1版本升级到3.2版本,需要注意如下的升级须知并按照升级指导的操作步骤进行。- 3.2版本要求PHP5.3.0以上,如果环境低于该版本,将无法升级;- 本升级指导用于指导开发人员从3.1版本升级到3.2版本;- 如果你的项目对框架核心进行过较大的改动的话不建议升级;- 本指导手册不确保你的项目顺...
php3.2.3 升级,thinkphp3.2.3 升级到3.2.4时出错问题
weixin_28864249的博客
03-17 305
有些项目最初用OneThink做的,而OneThink 默认使用的TP 是3.2.0 的,没事的时候就想给升级一下,但是直接复制进去的时候,有错误,导致OneThink 不能运行,排查后,需要修改两个地方1、修改 Application/Common/Conf/tags.php 文件内容修改为‘app_init’=>array(‘Common\Behavior\InitHookBehavio...
thinkphp3.2升级至thinkphp5.1
雷绍发
06-21 3584
view文件# 修改文件名# 把tp3.2.3\app\module\view文件夹下所有文件夹拷贝至tp5\app\module\view 打开cmd命令窗口,cd至view文件夹下,执行dir /b 1.bat 使用notepad++打开1.bat,使用正则替换,将(^.*$)替换为ren $1 \L$0。 保存1.bat,双击执行 修改标签# 正则:<foreach(.*...
ThinkPHP3.2.3到ThinkPHP5.0过渡笔记
李维山的博客
10-24 2873
用tp3.2.3做了不少项目,但是毕竟要与时代接轨,学习一些新的框架,比如tp5 以下记录一些学习中遇到的问题及解决办法,还有tp3.2和tp5.0的一些区别,适合给用过tp3没用过tp5的童鞋做个参考。 随着学习不断更新...... +++++++++++++++++++++++分割线总是要有的+++++++++++++++++++++++ 首先到tp官网下载了一个最新的ThinkPHP5...
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
ThinkPHP3.2.3单字母方法及部分函数汇总
sheng829807的博客
08-17 1696
将tp中的部分函数总结了一下,还有许多没有写入。
Web开发 | ThinkPHP 3.2.3 - 03.ThinkPHP与数据库1
JasonSen
04-07 351
1.数据库连接及Model模型定义使用 ThinkPHP/Conf/convention.php 数据库连接配置   shop/Common/Conf/config.php 程序代码如下: &lt;?php return array( //'配置项'=&gt;'配置值' /* 数据库设置 */ 'DB_TYPE' =&gt; '...
Thinkphp5.0.x命令执行filter
qq_35533398的博客
09-09 3548
Thinkphp5.0.x命令执行2 同样是利用call_user_func()进行命令执行,在Request类的函数filterValue中执行 首先搜索哪些函数调用了filterValue: 在Request类中的cookie()和input()函数中调用了filterValue() 搜索cookie函数调用情况,未发现结果;搜索input调用情况: 从run函数跟进: Step1 在$request = is_null($request) ? Request::ins
thinkphp3.2.3学习(2)
HoAd'blog
08-07 511
thinkphp3.2.3学习(2) 如何读取配置文件路由四种url模式url的设置函数控制器绑定参数url生成跳转页面重定向输入变量 如何读取配置文件 使用C函数 C(‘属性名’); 动态配置 C(‘属性名’,‘属性值’); 扩展配置 打开模块配置配置文件 ‘LOAD_EXT_CONFIG’ => ‘cache’,‘db’ 同级目录新建cache的db两个php文件扩展 书写相关配置 配置文件的相关格式 return array( 'DB_PWD' => '123', 'DB_PORT'
ThinkPHP3.2升级到ThinkPHP6.0的详细步骤和实例
最新发布
奇妙的Bug之旅
12-02 654
ThinkPHP是一个基于PHP开发的开源框架,提供了丰富的功能和易于使用的API。总结一下,从ThinkPHP 3.2升级到ThinkPHP 6.0需要经过以下几个步骤:安装、配置、迁移数据和使用新特性。在这个过程中,你可能需要解决一些兼容性问题和迁移数据的问题。在完成升级后,你需要对项目进行全面的测试和调试,以确保一切正常运行。现在,你可以开始使用ThinkPHP 6.0的新特性了。在升级过程中,我们可能需要迁移旧项目中的数据到新的数据库。文件,根据你的数据库类型和信息进行相应的修改。
thinkphp3.2升级到5.0注意事项
摘星辰Li
05-28 5478
URL的变动首先对3.X的不严谨给开发者们带来的不正确的引导表示歉意,在5.0版本正式废除类似/id/1方式 可以通过get获取到id的方法,严格来讲这样的url是不属于$_GET的,现在可以通过param获取,具体使用可以通过请求部分查询。模型的变动新版的模型查询返回默认对象,系统默认增加了toArray方法,许多开发者在all或select尝试使用toArray来转换为数组,在此希望开发者能理...
thinkphp官方类库
王兆镇的博客
06-18 1697
验证和权限控制 PHP-Casbin casbin/casbin—— https://github.com/php-casbin/php-casbin 6.0 Authorization casbin/think-authz—— https://github.com/php-casbin/think-authz 5.1访问控制库(Casbin)扩展 casbin/think-adapter —— https://github.com/php-casbin/think-casbin RBAC权限认证 zoux
thinkphp3.2.3漏洞_更新:有POC发布 | Microsoft IE jscript远程命令执行0day漏洞(CVE20200674)通告...
weixin_39622138的博客
11-14 633
文档信息编号QiAnXinTI-SV-2020-0002关键字IE jscript.dllCVE-2020-0674创建日期2020年01月19日更新日期2020年03月1日TLPWHITE分析团队奇安信威胁情报中心红雨滴团队通告概要2020年1月17日,在微软的每月的例行补丁日两天之后,发布了编号为ADV200001的例行外安全公告,该公告的披露涉及一个野外发现的0day漏洞CVE-...
ThinkPHP框架安全实现分析
zl20117的博客
12-13 471
ThinkPHP框架安全实现分析 ThinkPHP框架是国内比较流行的PHP框架之一,虽然跟国外的那些个框架没法比,但优点在于,恩,中文手册很全面。最近研究SQL注入,之前用TP框架的时候因为底层提供了安全功能,在开发过程中没怎么考虑安全问题。 一、不得不说的I函数 TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据,比如I('get.')、I('pos
no-referrer-when-downgrade 跨域问题
ycsdn10的博客
11-28 5232
一、问题 ajax请求网关的时候,能够请求到对应的路由服务A,并且成功返回,但是在页面的开发者工具中显示的请求是无响应内容 二、背景 本地开了几个项目,分别有网关,eureka集群,服务A,服务B等,在浏览器打开nginx指向页面的时候,出现了跨域问题 三、解决方式 1.方式1: 添加config配置 config: gateway: globalcors: add-to-simple-url-handler-mapping: true corsConfi
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5828
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
ThinkPHP 3.2.3快速入门:基础与最新版本更新
本快速入门教程专为3.2.3版本设计,尽管很多功能在3.2版本中也存在,但推荐使用最新版本进行学习,以确保掌握最完整和最新的特性。 要开始使用ThinkPHP 3.2.3,首先需要从官方网站 <http://thinkphp....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值