版本：標(biāo)準(zhǔn)版 4.7

注入鏈接內(nèi)容

/api/products?limit=20&priceOrder=&salesOrder=&selectld=GTID_SUBSET(CONCAT(0x7e,0x7e,0x7e,(SELECT+(ELT(3550=3550,user()))),0x7e,0x7e,0x7e),3550)

/api/products?limit=20&priceOrder=&salesOrder=&selectId=GTID_SUBSET(CONCAT(0x7e,(SELECT+(ELT(3550=3550,user()))),0x7e),3550)

根據(jù)下文文章中的內(nèi)容進(jìn)行修復(fù)  

http://therapist.net.cn/ask/thread/46298  

1、修改crmeb/app/api/controller/v1/store/StoreProductController.php文件中的lst方法里面的接收參數(shù)，修改成下圖

5.3之前的版本需要修改crmeb/app/services/product/product/StoreProductServices.php文件下的getGoodsList方法中

2、下載壓縮包，將里面的Request.php文件替換項(xiàng)目中的crmeb/app/Request.php這個(gè)文件（已替換）

// +----------------------------------------------------------------------

namespace app;

use Spatie\Macroable\Macroable;

/**
 * Class Request
 * @package app
 * @method tokenData() 獲取token信息
 * @method user(string $key = null) 獲取用戶信息
 * @method uid() 獲取用戶uid
 * @method isAdminLogin() 后臺(tái)登陸狀態(tài)
 * @method adminId() 后臺(tái)管理員id
 * @method adminInfo() 后臺(tái)管理信息
 * @method kefuId() 客服id
 * @method kefuInfo() 客服信息
 */
class Request extends \think\Request
{
    use Macroable;

    /**
     * 不過濾變量名
     * @var array
     */
    protected $except = ['menu_path', 'api_url', 'unique_auth',
                         'description', 'custom_form', 'content', 'tableField', 'url', 'customCode'];

    /**
     * 獲取請(qǐng)求的數(shù)據(jù)
     * @param array $params
     * @param bool $suffix
     * @param bool $filter
     * @return array
     */
    public function more(array $params, bool $suffix = false, bool $filter = true): array
    {
        $p = [];
        $i = 0;
        foreach ($params as $param) {
            if (!is_array($param)) {
                $p[$suffix == true ? $i++ : $param] = $this->param($param);
            } else {
                if (!isset($param[1])) $param[1] = null;
                if (!isset($param[2])) $param[2] = '';
                if (is_array($param[0])) {
                    $name = is_array($param[1]) ? $param[0][0] . '/a' : $param[0][0] . '/' . $param[0][1];
                    $keyName = $param[0][0];
                } else {
                    $name = is_array($param[1]) ? $param[0] . '/a' : $param[0];
                    $keyName = $param[0];
                }

                $p[$suffix == true ? $i++ : ($param[3] ?? $keyName)] = $this->param($name, $param[1], $param[2]);
            }
        }

        if ($filter && $p) {
            $p = $this->filterArrayValues($p);
        }

        return $p;
    }

    /**
     * 過濾接數(shù)組中的字符串
     * @param $str
     * @param bool $filter
     * @return array|mixed|string|string[]
     */
    public function filterArrayValues($array)
    {
        $result = [];
        foreach ($array as $key => $value) {
            if (is_array($value)) {
                // 如果值是數(shù)組，遞歸調(diào)用 filterArrayValues
                $result[$key] = $this->filterArrayValues($value);
            } else {
                if (in_array($key, $this->except) || is_int($value) || is_null($value)) {
                    $result[$key] = $value;
                } else {
                    // 如果值是字符串，過濾特殊字符
                    $result[$key] = filter_str($value);
                }

            }
        }
        return $result;
    }

    /**
     * 獲取get參數(shù)
     * @param array $params
     * @param bool $suffix
     * @param bool $filter
     * @return array
     */
    public function getMore(array $params, bool $suffix = false, bool $filter = true): array
    {
        return $this->more($params, $suffix, $filter);
    }

    /**
     * 獲取post參數(shù)
     * @param array $params
     * @param bool $suffix
     * @param bool $filter
     * @return array
     */
    public function postMore(array $params, bool $suffix = false, bool $filter = true): array
    {
        return $this->more($params, $suffix, $filter);
    }

    /**
     * 獲取用戶訪問端
     * @return array|string|null
     */
    public function getFromType()
    {
        return $this->header('Form-type', '');
    }

    /**
     * 當(dāng)前訪問端
     * @param string $terminal
     * @return bool
     */
    public function isTerminal(string $terminal)
    {
        return strtolower($this->getFromType()) === $terminal;
    }

    /**
     * 是否是H5端
     * @return bool
     */
    public function isH5()
    {
        return $this->isTerminal('h5');
    }

    /**
     * 是否是微信端
     * @return bool
     */
    public function isWechat()
    {
        return $this->isTerminal('wechat');
    }

    /**
     * 是否是小程序端
     * @return bool
     */
    public function isRoutine()
    {
        return $this->isTerminal('routine');
    }

    /**
     * 是否是app端
     * @return bool
     */
    public function isApp()
    {
        return $this->isTerminal('app');
    }

    /**
     * 是否是app端
     * @return bool
     */
    public function isPc()
    {
        return $this->isTerminal('pc');
    }
}

3、在crmeb/app/common.php 文件中最后增加下面代碼

4、修改crmeb/app/model/product/product/StoreCategory.php，修改whereIn的第二個(gè)參數(shù)為

按照文中的內(nèi)容均已經(jīng)替換，但實(shí)際還是存在注入風(fēng)險(xiǎn)。如下圖