昨日ThinkPHP框架被爆出了一個php代碼任意執行漏洞，黑客只需提交一段特殊的URL就可以在網站上執行惡意代碼。

ThinkPHP作為國內使用比較廣泛的老牌PHP MVC框架，有不少創業公司或者項目都用了這個框架。不過大多數開發者和使用者并沒有注意到本次漏洞的危害性，chinaz源碼報導提醒：此漏洞是一個非常嚴重的問題，只要使用了thinkphp框架，就可以直接執行任意php代碼，請使用thinkphp框架的各位站長趕快對自己的網站進檢測，并修復。

修復方法：

1、下載官方發布的補丁：

2、或者直接修改源碼：

/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

修改為$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));

將 preg_replace第二個參數中的雙引號改為單引號，防止其中的php變量語法被解析執行。

軟件大小：4.04MB

軟件類別：國產軟件 | 其它類別

軟件語言：簡體中文

運行環境：PHP

軟件授權：免費版

更新時間：2012-3-26 16:05:34