都来说说 ThinkPHP 的安全问题吧，乌云上的漏洞一个接一个啊

2014 年 12 月 20 日

abelyao

这两天又爆出 SQL 注入了，搜一下真是一个接一个：
http://www.wooyun.org/searchbug.php?q=VGhpbmtwaHA%3D&showall=1

这货是否真的从设计理念上就存在问题？

6813 次点击

所在节点

12 条回复

tabris17

2014 年 12 月 20 日

框架导致SQL注入？难道不是框架使用者不良编程习惯导致的？

abelyao

2014 年 12 月 20 日

x86

2014 年 12 月 20 日

有料的不会在这说出来吧

xoxo

2014 年 12 月 20 日

楼主提的？呵呵连篇

ksc010

2014 年 12 月 20 日

@tabris17 看了修复记录，框架问题
用TP的赶紧打补丁吧擦

mahone3297

2014 年 12 月 20 日

不用就没问题了。。

abelyao

2014 年 12 月 20 日

@mahone3297 现在早已经不用了，但是一个国产著名的框架，多关注一下自然是好的

abelyao

2014 年 12 月 20 日

@xoxo 乌云上的不是我提的

yakczh

2014 年 12 月 20 日

这也说明了国内phper的水平

xuhaoyangx

2014 年 12 月 21 日

@abelyao = =用啥php框架

RIcter

2014 年 12 月 21 日

@xoxo
@tabris17
ˊ_>ˋph提的，洞主我也认识，私下问过。
没看过细节就别呵呵，确实是框架的注入。
细节我看过，I函数获取用户输入的时候，可以绕过过滤导致注入。

有些人啊ˊ_>ˋ

abelyao

2014 年 12 月 22 日

@RIcter 一个框架既然承担了过滤的部分，那么就应该把过滤做好了。而有些人即使不了解框架，至少也可以看到乌云上 TP 官方承认了有问题，而什么都不看的，真的就只能呵呵了。所以这贴我自己都不想回了。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.