ThinkPHP 3.1,3.2中对IN和BETWEEN正则匹配不当导致的一个SQLi

时间:2023-03-09 03:51:10
ThinkPHP 3.1,3.2中对IN和BETWEEN正则匹配不当导致的一个SQLi 
     // where子单元分析

     protected function parseWhereItem($key,$val) {

         $whereStr = '';

         if(is_array($val)) {

             if(is_string($val[0])) {

                 if(preg_match('/^(EQ|NEQ|GT|EGT|LT|ELT)$/i',$val[0])) { // 比较运算

                     $whereStr .= $key.' '.$this->comparison[strtolower($val[0])].' '.$this->parseValue($val[1]);

                 }elseif(preg_match('/^(NOTLIKE|LIKE)$/i',$val[0])){// 模糊查找

                     if(is_array($val[1])) {

                         $likeLogic  =   isset($val[2])?strtoupper($val[2]):'OR';

                         if(in_array($likeLogic,array('AND','OR','XOR'))){

                             $likeStr    =   $this->comparison[strtolower($val[0])];

                             $like       =   array();

                             foreach ($val[1] as $item){

                                 $like[] = $key.' '.$likeStr.' '.$this->parseValue($item);

                             }

                             $whereStr .= '('.implode(' '.$likeLogic.' ',$like).')';

                         }

                     }else{

                         $whereStr .= $key.' '.$this->comparison[strtolower($val[0])].' '.$this->parseValue($val[1]);

                     }

                 }elseif('exp'==strtolower($val[0])){ // 使用表达式

                     $whereStr .= ' ('.$key.' '.$val[1].') ';

                 }elseif(preg_match('/IN/i',$val[0])){ // IN 运算

                     if(isset($val[2]) && 'exp'==$val[2]) {

                         $whereStr .= $key.' '.strtoupper($val[0]).' '.$val[1];

                     }else{

                         if(is_string($val[1])) {

                              $val[1] =  explode(',',$val[1]);

                         }

                         $zone      =   implode(',',$this->parseValue($val[1]));

                         $whereStr .= $key.' '.strtoupper($val[0]).' ('.$zone.')';

                     }

                 }elseif(preg_match('/BETWEEN/i',$val[0])){ // BETWEEN运算

                     $data = is_string($val[1])? explode(',',$val[1]):$val[1];

                     $whereStr .=  ' ('.$key.' '.strtoupper($val[0]).' '.$this->parseValue($data[0]).' AND '.$this->parseValue($data[1]).' )';

                 }else{

                     throw_exception(L('_EXPRESS_ERROR_').':'.$val[0]);

                 }

             }else {

                 $count = count($val);

                 $rule  = isset($val[$count-1])?strtoupper($val[$count-1]):'';

                 if(in_array($rule,array('AND','OR','XOR'))) {

                     $count  = $count -1;

                 }else{

                     $rule   = 'AND';

                 }

                 for($i=0;$i<$count;$i++) {

                     $data = is_array($val[$i])?$val[$i][1]:$val[$i];

                     if('exp'==strtolower($val[$i][0])) {

                         $whereStr .= '('.$key.' '.$data.') '.$rule.' ';

                     }else{

                         $op = is_array($val[$i])?$this->comparison[strtolower($val[$i][0])]:'=';

                         $whereStr .= '('.$key.' '.$op.' '.$this->parseValue($data).') '.$rule.' ';

                     }

                 }

                 $whereStr = substr($whereStr,0,-4);

             }

         }else {

             //对字符串类型字段采用模糊匹配

             if(C('DB_LIKE_FIELDS') && preg_match('/('.C('DB_LIKE_FIELDS').')/i',$key)) {

                 $val  =  '%'.$val.'%';

                 $whereStr .= $key.' LIKE '.$this->parseValue($val);

             }else {

                 $whereStr .= $key.' = '.$this->parseValue($val);

             }

         }

         return $whereStr;

     }

第24行的preg_match('/IN/i',$val[0])

第34行的preg_match('/BETWEEN/i',$val[0])

两个正则表达式没有设置起始,因此xxxinxxxx,xxxbetweenxxx的字符串都可以匹配成功,因而构成了注入。