發布時間:2015-12-01 點擊率:次 來源:www.memoryoverflow.cn 作者:電腦技術學習網
ThinkPHP是一個國內使用很廣泛的老牌PHP MVC框架。貌似國內有不少創業公司或者項目都用了這個框架。
最近官方發布了一個安全補丁,官方表述是:該URL安全漏洞會造成用戶在客戶端偽造URL���,執行非法代碼�。
可是貌似大多數開發者和使用者并沒有注意到此漏洞的危害性,應者了了,更不用說有多少人去升級了�����。隨后我對其進行了分析���,發現此問題果然是一個非常嚴重的問題�����,只要使用了thinkphp框架���,就可以直接執行任意php代碼�。特此發帖預警各位�。
我們來分析一下官方的補丁:
/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php
復制代碼