ThinkPHP SQL注入安全漏洞補(bǔ)丁20141212 [1219更新]

看見就非常 2015-02-12

展開全文

最新發(fā)布的3.2.3版本已經(jīng)包含了所有的漏洞安全補(bǔ)丁，建議升級！

[ ThinkPHP SQL注入安全漏洞補(bǔ)丁 ]
該補(bǔ)丁修正框架中一處可能導(dǎo)致SQL注入的地方，在開發(fā)者沒有合理使用I函數(shù)進(jìn)行過濾的情況下可能導(dǎo)致SQL注入，請及時(shí)更新。

20141219更新：改進(jìn)數(shù)據(jù)庫過濾機(jī)制
20141213更新：添加全局安全過濾機(jī)制
推薦使用I函數(shù)進(jìn)行請求變量獲取，如果沒有使用I函數(shù)的話，需要在項(xiàng)目或者模塊中配置開啟REQUEST_VARS_FILTER參數(shù)，如下所示：

'REQUEST_VARS_FILTER'=>true
復(fù)制代碼

影響到的版本涵蓋TP2.1以上版本，請對應(yīng)相關(guān)版本及時(shí)更新核心框架。

更新方法：
根據(jù)你的版本下載帶安全補(bǔ)丁的版本（更新functions.php、Db.class.php和App.class.php三個(gè)文件即可），如果你修改了核心框架，或者使用了更舊的版本，可以參考Github相應(yīng)版本（對應(yīng)Github不同的分支）的更新記錄進(jìn)行手動更新。

如果你使用的是最新的3.2.3版本，無需單獨(dú)更新漏洞補(bǔ)丁。

下載地址：
含完全補(bǔ)丁的3.2.2版本核心版完整版
含安全補(bǔ)丁的3.1.3版本核心版完整版
含安全補(bǔ)丁的3.0版本 3.0完整版
含安全補(bǔ)丁的2.2版本 2.2完整版
含安全補(bǔ)丁的2.1版本 2.1完整版

最后要感謝烏云漏洞報(bào)告平臺phith0n提交的漏洞。

AD：8小時(shí)應(yīng)聘1500家公司，創(chuàng)新工場投資，JobDeer.com比獵頭更靠譜。

本站是提供個(gè)人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：看見就非常 > 《tip》

舉報(bào)/認(rèn)領(lǐng)