搜索论坛

本来想防止别人使用DEBUG工具来破解《万能数据库查询分析器》，来更好地保护自己的知识产权，所以《万能数据库查询分析器》中英文版本《DB 查询分析器》、《DB Query Analyzer》均采用了EXE文件加壳技术。但实在想不到的居然是，杀毒软件误将其当作木马病毒。真是痛心啊！ 2007年5月份在国内外各大软件下载网站（包括国外的download.com、softpedia.com，并且后者还声明说“DB Query Analyzer - SOFTPEDIA "100% CLEAN" AWARD”）发布时，都没有被误杀啊，怎么今年就开始误杀了呢，木马病毒都出现了多少年了噢，真是想不通啊！ 看来，本人非常有必要来向大家阐述一下《万能数据库查询分析器》的加壳技术了，以避免不必要的误解。 《万能数据库查询分析器》的EXE文件加壳技术 马根峰 ( 广东联合电子收费股份有限公司, 广州 510300) 作者博客： 新浪博客： http://blog.sina.com.cn/magenfeng 搜狐博客： http://magenfeng.blog.sohu.com/ QQ空间： http://630414817.qzone.qq.com/ 1 引言 对于一个程序开发单位或者个人而言，如何才能防止别人使用DEBUG工具来破解您的程序，更好地保护您的知识产权？ 一个比较通用的做法就是把你的EXE文件进行加壳，即将EXE文件进行切分、加密。对外您只需发布各个加密的EXE子文件，而不用提供EXE文件。这样别人也就无法DEBUG您的EXE文件来进行破解。 在系统启动时，通过运行EXE外壳程序，来对各个加密EXE子文件进行解密并加载到一块内存中，从而在内存中直接启动您的应用程序。 总之，在发布软件时，您可以不发布EXE文件，只发布各个加密的EXE子文件和EXE外壳引导程序，实现对您的软件的保护。 2 万能数据库查询分析器所采用的软件保护技术 中国本土程序员马根峰推出的个人作品----万能数据库查询分析器，其中文版本《DB 查询分析器》、英文版本《DB Query Analyzer》。它集哈希技术、链表等多种数据结构于一体，使用先进系统开发技术，经历4年的研究、开发、测试周期，长达5万多行代码的工作量，使得万能数据库查询分析器具有强大的功能、友好的操作界面、良好的操作性、跨越数据库平台。 出于对对自已程序的保护，马根峰同样对中英文版本的EXE程序文件进行了加壳技术。从系统产生至今的三个版本，1.0版本、1.03版本到1.04版本都采用了加壳技术，并且EXE文件进行切分、加密是用自己开发的程序所完成。发布的安装程序中“DB_part1.del”、“DB_part2.del”、“DB_part3.del”、“DB_part4.del”就是万能查询分析器中英文版本的EXE文件所切分、加密后的密文文件，具体的生成过程见图1所示。 图1 《万能数据库查询分析器》EXE文件的切分、加密过程 用户下载《万能数据库查询分析器》中英文版本安装程序，在计算机上安装后，就可以运行了。整个程序运行的过程如图2所示。 图2 《万能数据库查询分析器》的装载与执行过程 “DBQueryAnalyzer.ex_”（这是安装前的文件名，安装到计算机系统中之后，名称就变成“DBQueryAnalyzer.exe”），就是自己所编写的EXE外壳引导程序。“DBQueryAnalyzer.ex_”的作用就是将EXE文件切分、加密后的四个子文件“DB_part1.del”、“DB_part2.del”、“DB_part3.del”、“DB_part4.del”解密，然后组装后装入内存，这时EXE外壳引导程序“DBQueryAnalyzer.exe”就退出运行，调用内存中“万能数据库查询分析器”的执行文件区域。 3 计算机病毒的重要特征 计算机病毒具有以下几个特点： 寄生性 　　 计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。 传染性 　　 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。 潜伏性 　　 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。 破坏性 　　 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。 可触发性 　　 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。 4 加壳技术的美中不足 EXE文件加壳技术有效的保护了自己的软件，然而由于其加载到内存运行的原理有点类似于病毒的工作原理，所以被相当一部分杀毒软件误认为是木马病毒。但在一个程序中往往会调用另外的程序、或者动态分配内存，仅凭这一点就作为判断病毒的依据，岂非有点儿戏。 从另一方面讲，《万能数据库查询分析器》根本不具有计算机病毒的特征：寄生性、传染性、潜伏性、破坏性、可触发性。所以我都不知道国内外的杀毒软件产品依据什么来将《万能数据库查询分析器》误判为计算机病毒，真是颇为费解。 尽管本人已经发信给国内外的杀毒软件商，告知他们本人的程序，但由于别人财大气粗，效率不高，至今《万能数据库查询分析器》的中文版本《DB 查询分析器》、英文版本《DB Query Analyzer》的安装程序依然被当成木马病毒而误杀。 很不可思议的是，2007年5月份在国内外各大软件下载网站（包括国外的download.com、softpedia.com，并且后者还声明说“DB Query Analyzer - SOFTPEDIA "100% CLEAN" AWARD”）发布时，都没有被误杀啊，怎么今年就开始误杀了呢，木马病毒都出现了多少年了噢，真是想不通啊！

代码：<!doctype html> <html> <head> <meta charset="utf-8"> <title>表格输出</title> </head> <body> <div style="text-align: center;color: brown"> <?php $b="while表格"; $c="#ff0004"; echo "<h1 color=".$c.">".$b."</h1>"?> </div> <table border="1" bordercolor="#FF0004" align="center" > <?php $out=0; while($out<10){ $bg=$out%2==0 ? "#fffddd" :"#dddddd";#设置第一行颜色和第二行颜色 echo "<tr bgcolor=".$bg.">"; $in=0; while($in<10){ echo "<td>".($out*10+$in)."</td>"; $in++; } echo "</tr>"; $out++; } ?> </table> </body> </html>显示结果 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/117.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

代码：<!doctype html> <html> <head> <meta charset="utf-8"> <title>表格输出</title> </head> <body> <div style="text-align: center;color: brown"> <?php $b="while表格"; $c="#ff0004"; echo "<h1 color=".$c.">".$b."</h1>"?> </div> <table border="1" bordercolor="#FF0004" align="center" > <?php $out=0; while($out<10){ $bg=$out%2==0 ? "#fffddd" :"#dddddd";#设置第一行颜色和第二行颜色 echo "<tr bgcolor=".$bg.">"; $in=0; while($in<10){ echo "<td>".($out*10+$in)."</td>"; $in++; } echo "</tr>"; $out++; } ?> </table> </body> </html>显示结果 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/117.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

简要描述ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企 业应用开发而诞生的。ThinkPHP从诞生的12年间一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码 的同时，也注重易用性。目前ThinkPHP框架是国内使用量最大的框架之一，国内用户量众多。近日，360企业安全 集团代码卫士团队安全研究人员发现该框架V5.1.7-V5.1.8 版本在底层数据处理驱动解析数据的时候存在缺陷，一 定场景下，攻击者可以通过构造恶意数据包利用SQL注入的方式获取用户数据库内容。360企业安全集团代码卫士 团队已第一时间和ThinkPHP团队进行沟通修复，建议相关用户及时更新官方发布的新版本。 漏洞分析:注：改漏洞ThinkPHP官方团队在报送当天（2018-04-06）紧急进行了修复处理，详细请参考： https://github.com/top-think/framework/commit/39bb0fe6d50ee77e0779f646b10bce08c442a5e3以下漏洞分析基于ThinkPHP V5.1.8(2018-04-05未更新版) 这里我们主要跟进分析执行update操作的过程。为了方便理解，先直接放出函数的调用栈。 Mysql.php:200, think\db\builder\Mysql->parseArrayData() Builder.php:147, think\db\Builder->parseData() Builder.php:1139, think\db\Builder->update() Connection.php:1149, think\db\Connection->update() Query.php:2571, think\db\Query->update() Index.php:18, app\index\controller\Index->testsql() Container.php:285, ReflectionMethod->invokeArgs() Container.php:285, think\Container->invokeReflectMethod() Module.php:139, think\route\dispatch\Module->run() Url.php:31, think\route\dispatch\Url->run() App.php:378, think\App->think\{closure}() Middleware.php:119, call_user_func_array: {C:\wamp64\www\think518\thinkphp\library\think\Middleware.php:119}() Middleware.php:119, think\Middleware->think\{closure}() Middleware.php:74, call_user_func: {C:\wamp64\www\think518\thinkphp\library\think\Middleware.php:74}() Middleware.php:74, think\Middleware->dispatch() App.php:399, think\App->run() index.php:21, {main}()缺陷关键点为thinkphp解析用户传递过来的Data可控，且可以绕过安全检查。 根据文件 Connection.php:1149, think\db\Connection->update() 第1102行update函数分析，这个函数的主要功 能是用于执行update SQL语句。 //Connection.php:1149, think\db\Connection->update() public function update(Query $query) { $options = $query->getOptions(); if (isset($options['cache']) && is_string($options['cache']['key'])) { $key = $options['cache']['key']; } $pk = $query->getPk($options); $data = $options['data']; if (empty($options['where'])) { // 如果存在主键数据 则自动作为更新条件 if (is_string($pk) && isset($data[$pk])) { $where[$pk] = [$pk, '=', $data[$pk]]; if (!isset($key)) { $key = $this->getCacheKey($query, $data[$pk]); } unset($data[$pk]); } elseif (is_array($pk)) { // 增加复合主键支持 foreach ($pk as $field) { if (isset($data[$field])) { $where[$field] = [$field, '=', $data[$field]]; } else { // 如果缺少复合主键数据则不执行 throw new Exception('miss complex primary data'); } unset($data[$field]); } } if (!isset($where)) { // 如果没有任何更新条件则不执行 throw new Exception('miss update condition'); } else { $options['where']['AND'] = $where; $query->setOption('where', ['AND' => $where]); } } elseif (!isset($key) && is_string($pk) && isset($options['where']['AND'][$pk])) { $key = $this->getCacheKey($query, $options['where']['AND'][$pk]); } // 更新数据 $query->setOption('data', $data); // 生成UPDATE SQL语句 $sql = $this->builder->update($query); $bind = $query->getBind(); if (!empty($options['fetch_sql'])) { // 获取实际执行的SQL语句 return $this->getRealSql($sql, $bind); } // 检测缓存 $cache = Container::get('cache'); if (isset($key) && $cache->get($key)) { // 删除缓存 $cache->rm($key); } elseif (!empty($options['cache']['tag'])) { $cache->clear($options['cache']['tag']); } // 执行操作 $result = '' == $sql ? 0 : $this->execute($sql, $bind); if ($result) { if (is_string($pk) && isset($where[$pk])) { $data[$pk] = $where[$pk]; } elseif (is_string($pk) && isset($key) && strpos($key, '|')) { list($a, $val) = explode('|', $key); $data[$pk] = $val; } $query->setOption('data', $data); $query->trigger('after_update'); }return $result; 刚刚我们将用户可控的 $data set到 $query['options'] 中，这里我们先获取 $query['options'] 内容到 $options 中，然后对Data进行解析 $data = $this->parseData($query, $options['data']); 第1146行， $query->setOption(‘data’, $data); 这里将用户传递的 $data set到 $query 变量中，为下一步的生 成 UPDATE SQL语句做准备，执行 $sql = $this->builder->update($query); 语句，重点马上要来了，跟进 Builder.php:1139, think\db\Builder->update() 函数 //Builder.php:1139, think\db\Builder->update() public function update(Query $query) { $options = $query->getOptions(); $table = $this->parseTable($query, $options['table']); $data = $this->parseData($query, $options['data']); if (empty($data)) { return ''; } foreach ($data as $key => $val) { $set[] = $key . ' = ' . $val; } return str_replace( ['%TABLE%', '%SET%', '%JOIN%', '%WHERE%', '%ORDER%', '%LIMIT%', '%LOCK%', '%COMMENT%'], } [ $this->parseTable($query, $options['table']), implode(' , ', $set), $this->parseJoin($query, $options['join']), $this->parseWhere($query, $options['where']), $this->parseOrder($query, $options['order']), $this->parseLimit($query, $options['limit']), $this->parseLock($query, $options['lock']), $this->parseComment($query, $options['comment']), ], $this->updateSql);刚刚我们将用户可控的 $data set到 $query['options'] 中，这里我们先获取 $query['options'] 内容到 $options 中，然后对Data进行解析 $data = $this->parseData($query, $options['data']); //Builder.php:147, think\db\Builder->parseData() protected function parseData(Query $query, $data = [], $fields = [], $bind = [], $suffix = '') { if (empty($data)) { return []; } $options = $query->getOptions(); // 获取绑定信息 if (empty($bind)) { $bind = $this->connection->getFieldsBind($options['table']); } if (empty($fields)) { if ('*' == $options['field']) { $fields = array_keys($bind); } else { $fields = $options['field']; } } $result = []; foreach ($data as $key => $val) { $item = $this->parseKey($query, $key); if ($val instanceof Expression) { $result[$item] = $val->getValue(); continue; } elseif (!is_scalar($val) && (in_array($key, (array) $query->getOptions('json')) || 'json' == $this->connection->getFieldsType($options['table'], $key))) { $val = json_encode($val); } elseif (is_object($val) && method_exists($val, '__toString')) { // 对象数据写入 $val = $val->__toString(); } if (false !== strpos($key, '->')) { list($key, $name) = explode('->', $key); $item = $this->parseKey($query, $key); $result[$item] = 'json_set(' . $item . ', \'$.' . $name . '\', ' . $this- >parseDataBind($query, $key, $val, $bind, $suffix) . ')'; } elseif (false === strpos($key, '.') && !in_array($key, $fields, true)) { if ($options['strict']) { throw new Exception('fields not exists:[' . $key . ']'); } } elseif (is_null($val)) { $result[$item] = 'NULL'; } elseif (is_array($val) && !empty($val)) { switch ($val[0]) { case 'INC': $result[$item] = $item . ' + ' . floatval($val[1]); break; case 'DEC': $result[$item] = $item . ' - ' . floatval($val[1]); break; default: $value = $this->parseArrayData($query, $val); if ($value) { $result[$item] = $value; } } } elseif (is_scalar($val)) { // 过滤非标量数据 $result[$item] = $this->parseDataBind($query, $key, $val, $bind, $suffix); } } return $result; } //Mysql.php:200, think\db\builder\Mysql->parseArrayData() protected function parseArrayData(Query $query, $data) { list($type, $value) = $data; switch (strtolower($type)) { case 'point': $fun = isset($data[2]) ? $data[2] : 'GeomFromText'; $point = isset($data[3]) ? $data[3] : 'POINT'; //在第115行，通过 foreach ($data as $key => $val) 处理 $data ,然后解析 $key 保存到 $item 变量中去，之后 执行下面的判断逻辑，想要合理地进入各个判断分支，就要巧妙的构造 $key 和 $value 也就是 $data 的值。紧接 着我们进入漏洞触发点 $value = $this->parseArrayData($query, $val); ,跟进函数 $value = $this- >parseArrayData($query, $val); //Mysql.php:200, think\db\builder\Mysql->parseArrayData() protected function parseArrayData(Query $query, $data) { list($type, $value) = $data; switch (strtolower($type)) { case 'point': $fun = isset($data[2]) ? $data[2] : 'GeomFromText'; $point = isset($data[3]) ? $data[3] : 'POINT'; if (is_array($value)) { $value = implode(' ', $value); } $result = $fun . '(\'' . $point . '(' . $value . ')\')';//需要简单的构造一下sql语 break; default: }这里 $type 、 $value 和 $data 均为可控值，那么函数返回的 $result 也就是可控的。回到上一个 Builder.php 文件中，将返回的结果赋值到 $result[$item] = $value; 中，之后的生成SQL语句和常见的流程没有任何差别不在 展开具体分析。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/129.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

简要描述ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企 业应用开发而诞生的。ThinkPHP从诞生的12年间一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码 的同时，也注重易用性。目前ThinkPHP框架是国内使用量最大的框架之一，国内用户量众多。近日，360企业安全 集团代码卫士团队安全研究人员发现该框架V5.1.7-V5.1.8 版本在底层数据处理驱动解析数据的时候存在缺陷，一 定场景下，攻击者可以通过构造恶意数据包利用SQL注入的方式获取用户数据库内容。360企业安全集团代码卫士 团队已第一时间和ThinkPHP团队进行沟通修复，建议相关用户及时更新官方发布的新版本。 漏洞分析:注：改漏洞ThinkPHP官方团队在报送当天（2018-04-06）紧急进行了修复处理，详细请参考： https://github.com/top-think/framework/commit/39bb0fe6d50ee77e0779f646b10bce08c442a5e3以下漏洞分析基于ThinkPHP V5.1.8(2018-04-05未更新版) 这里我们主要跟进分析执行update操作的过程。为了方便理解，先直接放出函数的调用栈。 Mysql.php:200, think\db\builder\Mysql->parseArrayData() Builder.php:147, think\db\Builder->parseData() Builder.php:1139, think\db\Builder->update() Connection.php:1149, think\db\Connection->update() Query.php:2571, think\db\Query->update() Index.php:18, app\index\controller\Index->testsql() Container.php:285, ReflectionMethod->invokeArgs() Container.php:285, think\Container->invokeReflectMethod() Module.php:139, think\route\dispatch\Module->run() Url.php:31, think\route\dispatch\Url->run() App.php:378, think\App->think\{closure}() Middleware.php:119, call_user_func_array: {C:\wamp64\www\think518\thinkphp\library\think\Middleware.php:119}() Middleware.php:119, think\Middleware->think\{closure}() Middleware.php:74, call_user_func: {C:\wamp64\www\think518\thinkphp\library\think\Middleware.php:74}() Middleware.php:74, think\Middleware->dispatch() App.php:399, think\App->run() index.php:21, {main}()缺陷关键点为thinkphp解析用户传递过来的Data可控，且可以绕过安全检查。 根据文件 Connection.php:1149, think\db\Connection->update() 第1102行update函数分析，这个函数的主要功 能是用于执行update SQL语句。 //Connection.php:1149, think\db\Connection->update() public function update(Query $query) { $options = $query->getOptions(); if (isset($options['cache']) && is_string($options['cache']['key'])) { $key = $options['cache']['key']; } $pk = $query->getPk($options); $data = $options['data']; if (empty($options['where'])) { // 如果存在主键数据 则自动作为更新条件 if (is_string($pk) && isset($data[$pk])) { $where[$pk] = [$pk, '=', $data[$pk]]; if (!isset($key)) { $key = $this->getCacheKey($query, $data[$pk]); } unset($data[$pk]); } elseif (is_array($pk)) { // 增加复合主键支持 foreach ($pk as $field) { if (isset($data[$field])) { $where[$field] = [$field, '=', $data[$field]]; } else { // 如果缺少复合主键数据则不执行 throw new Exception('miss complex primary data'); } unset($data[$field]); } } if (!isset($where)) { // 如果没有任何更新条件则不执行 throw new Exception('miss update condition'); } else { $options['where']['AND'] = $where; $query->setOption('where', ['AND' => $where]); } } elseif (!isset($key) && is_string($pk) && isset($options['where']['AND'][$pk])) { $key = $this->getCacheKey($query, $options['where']['AND'][$pk]); } // 更新数据 $query->setOption('data', $data); // 生成UPDATE SQL语句 $sql = $this->builder->update($query); $bind = $query->getBind(); if (!empty($options['fetch_sql'])) { // 获取实际执行的SQL语句 return $this->getRealSql($sql, $bind); } // 检测缓存 $cache = Container::get('cache'); if (isset($key) && $cache->get($key)) { // 删除缓存 $cache->rm($key); } elseif (!empty($options['cache']['tag'])) { $cache->clear($options['cache']['tag']); } // 执行操作 $result = '' == $sql ? 0 : $this->execute($sql, $bind); if ($result) { if (is_string($pk) && isset($where[$pk])) { $data[$pk] = $where[$pk]; } elseif (is_string($pk) && isset($key) && strpos($key, '|')) { list($a, $val) = explode('|', $key); $data[$pk] = $val; } $query->setOption('data', $data); $query->trigger('after_update'); }return $result; 刚刚我们将用户可控的 $data set到 $query['options'] 中，这里我们先获取 $query['options'] 内容到 $options 中，然后对Data进行解析 $data = $this->parseData($query, $options['data']); 第1146行， $query->setOption(‘data’, $data); 这里将用户传递的 $data set到 $query 变量中，为下一步的生 成 UPDATE SQL语句做准备，执行 $sql = $this->builder->update($query); 语句，重点马上要来了，跟进 Builder.php:1139, think\db\Builder->update() 函数 //Builder.php:1139, think\db\Builder->update() public function update(Query $query) { $options = $query->getOptions(); $table = $this->parseTable($query, $options['table']); $data = $this->parseData($query, $options['data']); if (empty($data)) { return ''; } foreach ($data as $key => $val) { $set[] = $key . ' = ' . $val; } return str_replace( ['%TABLE%', '%SET%', '%JOIN%', '%WHERE%', '%ORDER%', '%LIMIT%', '%LOCK%', '%COMMENT%'], } [ $this->parseTable($query, $options['table']), implode(' , ', $set), $this->parseJoin($query, $options['join']), $this->parseWhere($query, $options['where']), $this->parseOrder($query, $options['order']), $this->parseLimit($query, $options['limit']), $this->parseLock($query, $options['lock']), $this->parseComment($query, $options['comment']), ], $this->updateSql);刚刚我们将用户可控的 $data set到 $query['options'] 中，这里我们先获取 $query['options'] 内容到 $options 中，然后对Data进行解析 $data = $this->parseData($query, $options['data']); //Builder.php:147, think\db\Builder->parseData() protected function parseData(Query $query, $data = [], $fields = [], $bind = [], $suffix = '') { if (empty($data)) { return []; } $options = $query->getOptions(); // 获取绑定信息 if (empty($bind)) { $bind = $this->connection->getFieldsBind($options['table']); } if (empty($fields)) { if ('*' == $options['field']) { $fields = array_keys($bind); } else { $fields = $options['field']; } } $result = []; foreach ($data as $key => $val) { $item = $this->parseKey($query, $key); if ($val instanceof Expression) { $result[$item] = $val->getValue(); continue; } elseif (!is_scalar($val) && (in_array($key, (array) $query->getOptions('json')) || 'json' == $this->connection->getFieldsType($options['table'], $key))) { $val = json_encode($val); } elseif (is_object($val) && method_exists($val, '__toString')) { // 对象数据写入 $val = $val->__toString(); } if (false !== strpos($key, '->')) { list($key, $name) = explode('->', $key); $item = $this->parseKey($query, $key); $result[$item] = 'json_set(' . $item . ', \'$.' . $name . '\', ' . $this- >parseDataBind($query, $key, $val, $bind, $suffix) . ')'; } elseif (false === strpos($key, '.') && !in_array($key, $fields, true)) { if ($options['strict']) { throw new Exception('fields not exists:[' . $key . ']'); } } elseif (is_null($val)) { $result[$item] = 'NULL'; } elseif (is_array($val) && !empty($val)) { switch ($val[0]) { case 'INC': $result[$item] = $item . ' + ' . floatval($val[1]); break; case 'DEC': $result[$item] = $item . ' - ' . floatval($val[1]); break; default: $value = $this->parseArrayData($query, $val); if ($value) { $result[$item] = $value; } } } elseif (is_scalar($val)) { // 过滤非标量数据 $result[$item] = $this->parseDataBind($query, $key, $val, $bind, $suffix); } } return $result; } //Mysql.php:200, think\db\builder\Mysql->parseArrayData() protected function parseArrayData(Query $query, $data) { list($type, $value) = $data; switch (strtolower($type)) { case 'point': $fun = isset($data[2]) ? $data[2] : 'GeomFromText'; $point = isset($data[3]) ? $data[3] : 'POINT'; //在第115行，通过 foreach ($data as $key => $val) 处理 $data ,然后解析 $key 保存到 $item 变量中去，之后 执行下面的判断逻辑，想要合理地进入各个判断分支，就要巧妙的构造 $key 和 $value 也就是 $data 的值。紧接 着我们进入漏洞触发点 $value = $this->parseArrayData($query, $val); ,跟进函数 $value = $this- >parseArrayData($query, $val); //Mysql.php:200, think\db\builder\Mysql->parseArrayData() protected function parseArrayData(Query $query, $data) { list($type, $value) = $data; switch (strtolower($type)) { case 'point': $fun = isset($data[2]) ? $data[2] : 'GeomFromText'; $point = isset($data[3]) ? $data[3] : 'POINT'; if (is_array($value)) { $value = implode(' ', $value); } $result = $fun . '(\'' . $point . '(' . $value . ')\')';//需要简单的构造一下sql语 break; default: }这里 $type 、 $value 和 $data 均为可控值，那么函数返回的 $result 也就是可控的。回到上一个 Builder.php 文件中，将返回的结果赋值到 $result[$item] = $value; 中，之后的生成SQL语句和常见的流程没有任何差别不在 展开具体分析。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/129.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

局部变量对于局部变量，只能在引用的函数中使用。而结束函数后，该变量也失去了意义。 全局变量顾名思义，全局变量就是在整个项目中都可以进行调用。但需要注意的是，在函数中是不能直接进行调用的，我们需要关键词globla进行声明就就可以了。 静态变量静态变量，其值是不会发生变化。通常用关键词static定义静态变量。 实例代码<?php /** 全局变量 、局部变量、静态变量。 **/ $c=6; $d=9; function bbs($a,$b){ echo "局部变量结果：" .$a*$b."</br>"; } ?> <?php function kali(){ global $c,$d; echo "全局变量结果：".$c*$d."</br>"; } ?> <?php function cn(){ static $f=1; echo "静态变量：".$f."</br>"; $f++; } ?> <?php bbs(7,7); kali(); cn(); cn(); ?> 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/195.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

局部变量对于局部变量，只能在引用的函数中使用。而结束函数后，该变量也失去了意义。 全局变量顾名思义，全局变量就是在整个项目中都可以进行调用。但需要注意的是，在函数中是不能直接进行调用的，我们需要关键词globla进行声明就就可以了。 静态变量静态变量，其值是不会发生变化。通常用关键词static定义静态变量。 实例代码<?php /** 全局变量 、局部变量、静态变量。 **/ $c=6; $d=9; function bbs($a,$b){ echo "局部变量结果：" .$a*$b."</br>"; } ?> <?php function kali(){ global $c,$d; echo "全局变量结果：".$c*$d."</br>"; } ?> <?php function cn(){ static $f=1; echo "静态变量：".$f."</br>"; $f++; } ?> <?php bbs(7,7); kali(); cn(); cn(); ?> 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/195.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

题记一次在开发PHP时，需要参考一段代码。然后从伟大的度娘哪里百度了一段。可以实现我们想要的功能，但是当我在修改代码的过程中，遇到了下面情况。<?php // Copyright(C) 2008-2012 www.axphp.com, All rights reserved. $OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=1300;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('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')));return;?> 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恩恩，这是什么鬼！ 查了下 $OOO0O0O00=__FILE__;$OOO000000是用来加密的，那么我们该如何处理这个问题呢？ 借助伟大的google粑粑。我找到了一个解密网站。 微盾解密：https://yoursunny.com/p/PHP-decode/ 我们打开网站，复制上面的代码，然后点解解密即可。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/212.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

题记一次在开发PHP时，需要参考一段代码。然后从伟大的度娘哪里百度了一段。可以实现我们想要的功能，但是当我在修改代码的过程中，遇到了下面情况。<?php // Copyright(C) 2008-2012 www.axphp.com, All rights reserved. $OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=1300;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('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')));return;?> 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恩恩，这是什么鬼！ 查了下 $OOO0O0O00=__FILE__;$OOO000000是用来加密的，那么我们该如何处理这个问题呢？ 借助伟大的google粑粑。我找到了一个解密网站。 微盾解密：https://yoursunny.com/p/PHP-decode/ 我们打开网站，复制上面的代码，然后点解解密即可。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/212.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

前言生成excel 当然使用的是 phpExcel这个类库了,可是它太麻烦了,对于只要简单生成来说有点不值得什么叫简单,把数据库的数据导入到excel就行了, 这个就是简单了 代码如下：<?php header("Content-type:application/vnd.ms-excel"); header("Content-Disposition:filename=test.xls"); echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; ?> 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/523.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

前言生成excel 当然使用的是 phpExcel这个类库了,可是它太麻烦了,对于只要简单生成来说有点不值得什么叫简单,把数据库的数据导入到excel就行了, 这个就是简单了 代码如下：<?php header("Content-type:application/vnd.ms-excel"); header("Content-Disposition:filename=test.xls"); echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; echo "test1\t"; echo "test2\t\n"; ?> 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/523.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。