在开启了Lite模式后,在ThinkPHP/extend/Mode/Lite/Dispatcher.class.php中第73行:
// 解析剩余的URL参数
$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']=“\\2\;”', implode($depr,$paths));
有两点:一是加入了preg_replace使用了e修饰符,二是'$var[\'\\1\']="\\2\;"'中双引号中的PHP代码可以直接被执行。
比如:
http://localhost/index.php/Index/index/name/$%7B@phpinfo%28%29%7D
就会执行phpinfo()函数,打印出phpinfo页。
预防:
官方已经给出了补丁,也可以自行将双引号改成单引号防止PHP代码被解析。