ThinkPHP框架被爆出了一個php代碼任意執(zhí)行漏洞，黑客只需提交一段特殊的URL就可以在網站上執(zhí)行惡意代碼。

ThinkPHP作為國內使用比較廣泛的老牌PHP MVC框架，有不少創(chuàng)業(yè)公司或者項目都用了這個框架。不過大多數開發(fā)者和使用者并沒有注意到本次漏洞的危害性，chinaz源碼報導提醒：此漏洞是一個非常嚴重的問題，只要使用了thinkphp框架，就可以直接執(zhí)行任意php代碼，請使用thinkphp框架的各位站長趕快對自己的網站進檢測，并修復。

修復方法：

1、下載官方發(fā)布的補丁：

http://code.google.com/p/thinkphp/source/detail?spec=svn2904&r=2838

2、或者直接修改源碼：

 /trunk/ThinkPHP/Lib/Core/Dispatcher.class.php
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

修改為

$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));

將 preg_replace第二個參數中的雙引號改為單引號，防止其中的php變量語法被解析執(zhí)行。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/