ThinkPHP 5.x远程命令执行漏洞 补丁

手动修复5.0版本

在think\App类的module方法的获取控制器的代码后面加上

if (!preg_match(‘/^A-Za-z*\(/', \)controller)) {



throw new HttpException(404, 'controller not exists:' . $controller);




}
5.1版本

在think\route\dispatch\Url类的parseUrl方法,解析控制器后加上

if (\(controller && !preg_match('/^[A-Za-z](\w|\.)*\)/’, $controller)) {



throw new HttpException(404, 'controller not exists:' . $controller);




}






if (!preg_match(‘/^[A-Za-z][\w.]\(/', \)controller)) { throw new HttpException(404, ’controller not exists:‘ . $controller); }
preg_match(’/^A-Za-z\(/', \)controller)

这个正则表达式, 确实存在问题.

  1. (\w)这个捕获分组是没有意义的
  2. 这里应该采用占用优先匹配, 来提高效率. 避免回溯.

下面这种方式, 会更好一些.

preg_match(‘/^[A-Za-z]\w*+\(/', \)controller)


相关文章

最新内容
推荐内容

Copyright © 2008-2026 五速梦信息网 版权所有。

蜀ICP备2025158979号-1 | 川公网安备51010502015432号 网站地图

本站所有信息均来源于互联网搜集,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻删除。