昨日ThinkPHP框架被爆出了一個php代碼任意執(zhí)行漏洞，黑客只需提交一段特殊的URL就可以在網(wǎng)站上執(zhí)行惡意代碼。

ThinkPHP作為國內(nèi)使用比較廣泛的老牌PHP MVC框架，有不少創(chuàng)業(yè)公司或者項目都用了這個框架。不過大多數(shù)開發(fā)者和使用者并沒有注意到本次漏洞的危害性，chinaz源碼報導(dǎo)提醒：此漏洞是一個非常嚴(yán)重的問題，只要使用了thinkphp框架，就可以直接執(zhí)行任意php代碼，請使用thinkphp框架的各位站長趕快對自己的網(wǎng)站進(jìn)檢測，并修復(fù)。

修復(fù)方法：

1、下載官方發(fā)布的補(bǔ)丁：

2、或者直接修改源碼：

/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

修改為$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));

將 preg_replace第二個參數(shù)中的雙引號改為單引號，防止其中的php變量語法被解析執(zhí)行。

軟件大小：4.04MB

軟件類別：國產(chǎn)軟件 | 其它類別

軟件語言：簡體中文

運(yùn)行環(huán)境：PHP

軟件授權(quán)：免費(fèi)版

更新時間：2012-3-26 16:05:34

總結(jié)

以上是生活随笔為你收集整理的thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。