當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

tpshop防止sql注入补丁

發(fā)布時(shí)間：2023/12/31 编程问答 25 豆豆

生活随笔收集整理的這篇文章主要介紹了 tpshop防止sql注入补丁小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

本補(bǔ)丁由 QQ 木偶人? 提供

首先在? www\Application\Common\Common\function.php 文件添加一個(gè)方法

/** * 轉(zhuǎn)換SQL關(guān)鍵字 * * @param unknown_type $string * @return unknown */function strip_sql($string) { $pattern_arr = array( "/\bunion\b/i", "/\bselect\b/i", "/\bupdate\b/i", "/\bdelete\b/i", "/\boutfile\b/i", "/\bor\b/i", "/\bchar\b/i", "/\bconcat\b/i", "/\btruncate\b/i", "/\bdrop\b/i", "/\binsert\b/i", "/\brevoke\b/i", "/\bgrant\b/i", "/\breplace\b/i", "/\balert\b/i", "/\brename\b/i", "/\bmaster\b/i", "/\bdeclare\b/i", "/\bsource\b/i", "/\bload\b/i", "/\bcall\b/i", "/\bexec\b/i", "/\bdelimiter\b/i", ); $replace_arr = array( 'ｕｎｉｏｎ', 'ｓｅｌｅｃｔ', 'ｕｐｄａｔｅ', 'ｄｅｌｅｔｅ', 'ｏｕｔｆｉｌｅ', 'ｏｒ', 'ｃｈａｒ', 'ｃｏｎｃａｔ', 'ｔｒｕｎｃａｔｅ', 'ｄｒｏｐ', 'ｉｎｓｅｒｔ', 'ｒｅｖｏｋｅ', 'ｇｒａｎｔ', 'ｒｅｐｌａｃｅ', 'ａｌｅｒｔ', 'ｒｅｎａｍｅ', 'ｍａｓｔｅｒ', 'ｄｅｃｌａｒｅ', 'ｓｏｕｒｃｅ', 'ｌｏａｄ', 'ｃａｌｌ', 'ｅｘｅｃ', 'ｄｅｌｉｍｉｔｅｒ', ); return is_array($string) ? array_map('strip_sql', $string) : preg_replace($pattern_arr, $replace_arr, $string);}

其次需要替換一個(gè)方法在文件 www\Application\Common\Common\function.php 找到方法 getIP()

// 定義一個(gè)函數(shù)getIP() 客戶端IP，function getIP(){ if (getenv("HTTP_CLIENT_IP")) $ip = getenv("HTTP_CLIENT_IP"); else if(getenv("HTTP_X_FORWARDED_FOR")) $ip = getenv("HTTP_X_FORWARDED_FOR"); else if(getenv("REMOTE_ADDR")) $ip = getenv("REMOTE_ADDR"); else $ip = "Unknow"; return htmlspecialchars($ip);}

將以上方法替換為

方法添加完之后, 在 www\Application\Common\Conf\config.php 文件末尾添加一行配置

'DEFAULT_FILTER' => 'strip_sql,htmlspecialchars', // 系統(tǒng)默認(rèn)的變量過濾機(jī)制);

然后修改一下一個(gè)php文件目錄在 www\ThinkPHP\Library\Think\Db\Driver.class.php 代碼 103 行加上一行代碼

// 復(fù)制這行加到相應(yīng)位置

$this->options[PDO::ATTR_EMULATE_PREPARES] = false;

修改完成后記得清除一下緩存

舊的版本按照上述方法加上,?? 在新的發(fā)布版本里面自帶已經(jīng)加上.

總結(jié)

以上是生活随笔為你收集整理的tpshop防止sql注入补丁的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。