## 漏洞版本影响

` ThinkPHP<= 3.2.3`

## 漏洞分析

ThinkPHP 3.2.3 中的 SQL 注入漏洞（主要影响 `Model::find()`、`Model::delete()` 和 `Model::select()` 方法）源于对用户可控的参数处理不严谨，特别是对 `table`、`alias` 和 `where` 等键值的解析和 SQL 拼接过程缺乏充分的过滤、转义和验证。该漏洞允许攻击者通过构造数组类型的参数，注入恶意 SQL 片段，从而读取敏感数据、执行任意查询。

## 漏洞复现

1.  首先下载ThinkPHP 3.2.3的压缩包，编写测试Controller，以下用 `Model::find()` 来进行验证，`Model::select()` 和 `Model::find()` 几乎一样。
  ![find-5.png](https://developer.qcloudimg.com/http-save/yehe-11941136/6022b0ae89c5095ac5c7da454d891526.png)    
2.  漏洞入口是 `Model::find($options)` 方法，`find($options = array())` 方法接受 `$options` 作为查询条件数组。如果 `$options` 是数字或字符串（如主键 ID），则自动转换为 `where` 条件。如果攻击者传入数组类型的 `$options`，此分支不执行，直接进入后续逻辑。
  
   ![find-8.png](https://developer.qcloudimg.com/http-save/yehe-11941136/74861eece8f3e5e6a34ffc1def54c4bf.png)
    
3.  对于单主键表，`$pk` 是字符串，非数组，因此不进入复合主键分支。攻击者只需针对单主键表构造数组 `$options`，即可直接跳过此检查，进入通用解析。
  
 ![find-1.png](https://developer.qcloudimg.com/http-save/yehe-11941136/4d2c37ca95d12cfabf3a582df68db3a5.png)
    
4.  始终设置 `$options['limit'] = 1`，然后调用 `$options = $this->_parseOptions($options);` 进行表达式解析。
  
 ![find-6.png](https://developer.qcloudimg.com/http-save/yehe-11941136/e7b5cd2bd3d9d9faaec88e9f9157d1fb.png)
    
5.  在 `_parseOptions` 方法中，`table`、`alias`、`where` 无任何预过滤。比如，如果攻击者设置 `$options['table']` 为恶意字符串（如 `'tp_user UNION SELECT 1,@@version,3-- '`），直接使用。`$options['alias']` 可控，直接追加到 `table` 后（如 `'tp_user AS t1 UNION SELECT ...--'`）。如果 `$options['where']` 是字符串而非数组，整个验证分支不执行，直接通过。
  
![find-10.png](https://developer.qcloudimg.com/http-save/yehe-11941136/48cb50c40f2aa20ba48d34a1ba113f04.png)
    
6.  最后清空 `$this->options = array();`，调用 `_options_filter($options)`（默认空方法，无实际过滤）。
![find-7.png](https://developer.qcloudimg.com/http-save/yehe-11941136/2e57feedf1a9749321405b435792c093.png)
    
7.  解析后调用 `$this->db->select($options);`，底层构建并执行 SQL。
  
  ![find-2.png](https://developer.qcloudimg.com/http-save/yehe-11941136/ea914d06cd0cb387d38eee47d648dc83.png)
    
8.  在 `Driver.class.php` 的 `select` 方法中，直接使用解析后的 `$options` 构建 SQL。`parseBind` 仅处理绑定参数，但注入发生在字符串直接拼接时，`bind` 无关。
  
![find-12.png](https://developer.qcloudimg.com/http-save/yehe-11941136/62769388dafff642aba126c0d5549f7c.png)
    
9.  `buildSelectSql` 处理分页 `limit`，然后调用 `parseSql` 替换模板占位符。
  
![find-3.png](https://developer.qcloudimg.com/http-save/yehe-11941136/2dd8894b5ffcdb3265e7d372b8caf5a5.png)
    
10. SQL 是模板字符串（如 `'SELECT %DISTINCT% %FIELD% FROM %TABLE% %WHERE% ...'`），通过 `str_replace` 替换。注入片段直接嵌入，无过滤。
  
![find-9.png](https://developer.qcloudimg.com/http-save/yehe-11941136/7efce3d7b57e31b7545c1caee76ec37d.png)
    
11. 如果 `$options['table']` 是字符串（如 `'tp_user UNION SELECT 1,@@version,3--'`），`explode(',')` 分割为 `['tp_user UNION SELECT 1', '@@version,3--']`，然后每个片段调用 `parseKey` 方法，`parseKey` 没有做任何处理，直接返回参数。最终 `implode` 拼接回完整注入字符串，嵌入 `FROM` 子句，导致 `FROM tp_user UNION SELECT 1,@@version,3--`。
  
   ![find-13.png](https://developer.qcloudimg.com/http-save/yehe-11941136/0487b33d4f1d35712aa1a80d66f794eb.png)
    
12. `$where` 如果是字符串 则直接赋值 `$whereStr = $where;`，无转义、无正则验证。攻击者设置 `$options['where'] = '1=1 UNION SELECT ...--'`，直接生成 `WHERE 1=1 UNION SELECT ...--`，追加查询或绕过条件。
  
 ![find-11.png](https://developer.qcloudimg.com/http-save/yehe-11941136/1949c79e3265d09cc6ffa2aca1d4c074.png)
    
13. 最后的 `Db::query($str)` 方法通过绑定仅替换占位符为转义值。但注入发生在字符串直接拼接，无占位符，因此 `bind` 和 `escapeString` 不生效。PDO `prepare` 也仅防注入占位符；恶意 `$str` 已含完整注入 SQL，`prepare`/`execute` 直接执行，导致数据泄露或任意查询。
  
![find-4.png](https://developer.qcloudimg.com/http-save/yehe-11941136/0498fa7431d2161507ec1e68b362c244.png)
    
14. 注入语句如下，`alias`、`where` 等数组键的注入同理。
  
![find-14.png](https://developer.qcloudimg.com/http-save/yehe-11941136/9cd550c455838d1e098c37f199a01b74.png)
    
15. `Model::delete()` 则有些改变，代码中有对 `if(empty($options['where'])){` 的判断，如果为空则直接 `return false` 并不进行sql解析，因此对 `delete` 进行注入需要保持 `where` 不为空。
  
![find-15.png](https://developer.qcloudimg.com/http-save/yehe-11941136/33e5fa1afc452bc876439883a18fb14c.png)

ThinkPHP 3.2.3 中的 SQL 注入漏洞（主要影响 Model::find()、Model::delete() 和 Model::select() 方法）源于对用户可控的参数处理不严谨，特别是对 table、alias 和 where 等键值的解析和 SQL 拼接过程缺乏充分的过滤、转义和验证。该漏洞允许攻击者通过构造数组类型的参数，注入恶意 SQL 片段，从而读取敏感数据、执行任意查询。

ThinkPHP 3.2.3 高危漏洞深度解剖：数组参数未过滤引发的全版本SQL注入危机

ThinkPHP 3.2.3 中的 SQL 注入漏洞（主要影响 Model::find()、Model::delete() 和 Model::select() 方法）源于对用户可控的参数处理不严谨，特别是对 table、alias 和 where 等键值的解析和 SQL 拼接过程缺乏充分的过滤、转义和验证。该漏洞允许攻击者通过构造数组类型的参数，注入恶意 SQL 片段，从而读取敏感数据、执行任意查

编程语言

前端

ThinkPHP3.2.3存在SQL注入漏洞，影响Model::find()、delete()和select()方法。攻击者可构造恶意数组参数注入SQL片段，绕过过滤直接拼接SQL语句，导致数据泄露或执行任意查询。漏洞源于对table、alias、where等参数处理不严谨，未进行有效过滤和转义。

数据泄露

敏感数据

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

ThinkPHP 3.2.3 高危漏洞深度解剖：数组参数未过滤引发的全版本SQL注入危机-腾讯云开发者社区-腾讯云

ThinkPHP 3.2.3 高危漏洞深度解剖：数组参数未过滤引发的全版本SQL注入危机

ThinkPHP 3.2.3 高危漏洞深度解剖：数组参数未过滤引发的全版本SQL注入危机

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐