ThinkPHP框架是國內(nèi)比較流行的PHP框架之一，雖然跟國外的那些個框架沒法比，但優(yōu)點在于，恩，中文手冊很全面。最近研究SQL注入，之前用TP框架的時候因為底層提供了安全功能，在開發(fā)過程中沒怎么考慮安全問題。

一、不得不說的I函數(shù)

TP系統(tǒng)提供了I函數(shù)用于輸入變量的過濾。整個函數(shù)主體的意義就是獲取各種格式的數(shù)據(jù)，比如I('get.')、I('post.id')，然后用htmlspecialchars函數(shù)（默認情況下）進行處理。

如果需要采用其他的方法進行安全過濾，可以從/ThinkPHP/Conf/convention.php中設(shè)置：

1. 'DEFAULT_FILTER'    => 'strip_tags', 
2.  
3. //也可以設(shè)置多種過濾方法 
4.  
5. 'DEFAULT_FILTER'    => 'strip_tags,stripslashes', 

從/ThinkPHP/Common/functions.php中可以找到I函數(shù)，源碼如下：

1. /** 
2.  
3.  * 獲取輸入?yún)?shù) 支持過濾和默認值 
4.  
5.  * 使用方法: 
6.  
7.  *  
8.  
9.  * I('id',0); 獲取id參數(shù) 自動判斷get或者post 
10.  
11.  * I('post.name','','htmlspecialchars'); 獲取$_POST['name'] 
12.  
13.  * I('get.'); 獲取$_GET 
14.  
15.  * 
16.  
17.  * @param string $name 變量的名稱 支持指定類型 
18.  
19.  * @param mixed $default 不存在的時候默認值 
20.  
21.  * @param mixed $filter 參數(shù)過濾方法 
22.  
23.  * @param mixed $datas 要獲取的額外數(shù)據(jù)源 
24.  
25.  * @return mixed 
26.  
27.  */ 
28.  
29. function I($name,$default='',$filter=null,$datas=null) { 
30.  
31.   static $_PUT  =  null; 
32.  
33.   if(strpos($name,'/')){ // 指定修飾符 
34.  
35.     list($name,$type)   =  explode('/',$name,2); 
36.  
37.   }elseif(C('VAR_AUTO_STRING')){ // 默認強制轉(zhuǎn)換為字符串 
38.  
39.     $type  =  's'; 
40.  
41.   } 
42.  
43.   /*根據(jù)$name的格式獲取數(shù)據(jù)：先判斷參數(shù)的來源，然后再根據(jù)各種格式獲取數(shù)據(jù)*/ 
44.  
45.   if(strpos($name,'.')) {list($method,$name) =  explode('.',$name,2);} // 指定參數(shù)來源 
46.  
47.   else{$method =  'param';}//設(shè)定為自動獲取 
48.  
49.   switch(strtolower($method)) { 
50.  
51.     case 'get'   :  $input =& $_GET;break; 
52.  
53.     case 'post'  :  $input =& $_POST;break; 
54.  
55.     case 'put'   :  /*此處省略*/ 
56.  
57.     case 'param'  :  /*此處省略*/ 
58.  
59.     case 'path'  :  /*此處省略*/ 
60.  
61.   } 
62.  
63.   /*對獲取的數(shù)據(jù)進行過濾*/ 
64.  
65.   if('' // 獲取全部變量 
66.  
67.     $data    =  $input; 
68.  
69.     $filters  =  isset($filter)?$filter:C('DEFAULT_FILTER'); 
70.  
71.     if($filters) { 
72.  
73.       if(is_string($filters)){$filters  =  explode(',',$filters);} //為多種過濾方法提供支持 
74.  
75.       foreach($filters as $filter){ 
76.  
77.         $data  =  array_map_recursive($filter,$data); //循環(huán)過濾 
78.  
79.       } 
80.  
81.     } 
82.  
83.   }elseif(isset($input[$name])) { // 取值操作 
84.  
85.     $data    =  $input[$name]; 
86.  
87.     $filters  =  isset($filter)?$filter:C('DEFAULT_FILTER'); 
88.  
89.     if($filters) {   /*對參數(shù)進行過濾，支持正則表達式驗證*/ 
90.  
91.       /*此處省略*/ 
92.  
93.     } 
94.  
95.     if(!emptyempty($type)){ //如果設(shè)定了強制轉(zhuǎn)換類型 
96.  
97.       switch(strtolower($type)){ 
98.  
99.         case 'a': $data = (array)$data;break;  // 數(shù)組  
100.  
101.         case 'd': $data = (int)$data;break;  // 數(shù)字  
102.  
103.         case 'f': $data = (float)$data;break;  // 浮點   
104.  
105.         case 'b': $data = (boolean)$data;break;  // 布爾 
106.  
107.         case 's':  // 字符串 
108.  
109.         default:$data  =  (string)$data; 
110.  
111.       } 
112.  
113.     } 
114.  
115.   }else{ // 變量默認值 
116.  
117.     $data    =  isset($default)?$default:null; 
118. //Vevb.com 
119.   } 
120.  
121.   is_array($data) && array_walk_recursive($data,'think_filter'); //如果$data是數(shù)組，那么用think_filter對數(shù)組過濾 
122.  
123.   return $data; 
124.  
125. } 

恩，函數(shù)基本分成三塊：

第一塊，獲取各種格式的數(shù)據(jù)。

第二塊，對獲取的數(shù)據(jù)進行循環(huán)編碼，不管是二維數(shù)組還是三維數(shù)組。

第三塊，也就是倒數(shù)第二行，調(diào)用了think_filter對數(shù)據(jù)進行了最后一步的神秘處理。

讓我們先來追蹤一下think_filter函數(shù)：

1. //1536行 版本3.2.3最新添加 
2.  
3. function think_filter(&$value){// 過濾查詢特殊字符   
4.  
5.   if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){     
6.  
7.     $value .= ' ';   
8.  
9.   } 
10.  
11. } 

這個函數(shù)很簡單，一眼就可以看出來，在一些特定的關(guān)鍵字后面加個空格。

但是這個叫think_filter的函數(shù)，僅僅加了一個空格，到底起到了什么過濾的作用？

我們都知道重要的邏輯驗證，如驗證是否已登錄，用戶是否能購買某商品等，必須從服務(wù)器端驗證，如果從前端驗證的話，就很容易被繞過。同一個道理，在程序中，in/exp一類的邏輯結(jié)構(gòu)，最好也是由服務(wù)器端來控制。

當(dāng)從傳遞到服務(wù)器端的數(shù)據(jù)是這樣：id[0]=in&id[1]=1,2,3，如果沒有think_filter函數(shù)的話，會被解析成下表中的1，也就會被當(dāng)成服務(wù)器端邏輯解析。但如果變成如下表2的樣子，因為多了一個空格，無法被匹配解析，也就避免了漏洞。

1. $data['id']=array('in'=>'1,2,3')  
2.  
3. //經(jīng)過think_filter過濾之后，會變成介個樣子： 
4.  
5. $data['id']=array('in '=>'1,2,3') 

二、SQL注入

相關(guān)的文件為:/ThinkPHP/Library/Think/Db.class.php(在3.2.3中改為了/ThinkPHP/Library/Think/Db/Driver.class.php) 以及 /ThinkPHP/Library/Think/Model.class.php。其中Model.class.php文件提供的是curd直接調(diào)用的函數(shù)，直接對外提供接口，Driver.class.php中的函數(shù)被curd操作間接調(diào)用。

此次主要分析如下語句：

M('user')->where($map)->find();  //在user表根據(jù)$map的條件檢索出一條數(shù)據(jù)

大概說一下TP的處理思路:

首先將Model類實例化為一個user對象，然后調(diào)用user對象中的where函數(shù)處理$map，也就是將$map進行一些格式化處理之后賦值給user對象的成員變量$options（如果有其他的連貫操作，也是先賦值給user對象的對應(yīng)成員變量，而不是直接拼接SQL語句，所以在寫連貫操作的時候，無需像拼接SQL語句一樣考慮關(guān)鍵字的順序），接下來調(diào)用find函數(shù)。

find函數(shù)會調(diào)用底層的，也就是driver類中的函數(shù)——select來獲取數(shù)據(jù)。到了select函數(shù)，又是另一個故事了。

select除了要處理curd操作，還要處理pdo綁定，我們這里只關(guān)心curd操作，所以在select中調(diào)用了buildSelectSql，處理分頁信息，并且調(diào)用parseSQL按照既定的順序把SQL語句組裝進去。

雖然拼接SQL語句所需要的參數(shù)已經(jīng)全部放在成員變量里了，但是格式不統(tǒng)一，有可能是字符串格式的，有可能是數(shù)組格式的，還有可能是TP提供的特殊查詢格式，比如：$data['id']=array('gt','100');，所以在拼接之前，還要調(diào)用各自的處理函數(shù)，進行統(tǒng)一的格式化處理。我選取了parseWhere這個復(fù)雜的典型來分析。

關(guān)于安全方面的，如果用I函數(shù)來獲取數(shù)據(jù)，那么會默認進行htmlspecialchars處理，能有效抵御xss攻擊，但是對SQL注入沒有多大影響。

在過濾有關(guān)SQL注入有關(guān)的符號的時候，TP的做法很機智：先是按正常邏輯處理用戶的輸入，然后在最接近最終的SQL語句的parseWhere、parseHaving等函數(shù)中進行安全處理。這樣的順序避免了在處理的過程中出現(xiàn)注入。

當(dāng)然處理的方法是最普通的addslashes，根據(jù)死在沙灘上的前浪們說，推薦使用mysql_real_escape_string來進行過濾，但是這個函數(shù)只能在已經(jīng)連接了數(shù)據(jù)庫的前提下使用。

感覺TP在這個地方可以做一下優(yōu)化，畢竟走到這一步的都是連接了數(shù)據(jù)庫的。

恩，接下來，分析開始：

先說幾個Model對象中的成員變量：

1. // 主鍵名稱 
2.  
3. protected $pk   = 'id'; 
4.  
5. // 字段信息 
6.  
7. protected $fields = array(); 
8.  
9. // 數(shù)據(jù)信息 
10.  
11. protected $data  = array(); 
12.  
13. // 查詢表達式參數(shù) 
14.  
15. protected $options = array(); 
16.  
17. // 鏈操作方法列表 
18.  
19. protected $methods = array('strict','order','alias','having','group','lock','distinct','auto','filter','validate','result','token','index','force') 
20.  
21. 接下來分析where函數(shù)： 
22.  
23. public function where($where,$parse=null){ 
24.  
25.   //如果非數(shù)組格式，即where('id=%d&name=%s',array($id,$name))，對傳遞到字符串中的數(shù)組調(diào)用mysql里的escapeString進行處理 
26.  
27.   if(!is_null($parse) && is_string($where)) {  
28.  
29.     if(!is_array($parse)){ $parse = func_get_args();array_shift($parse);} 
30.  
31.     $parse = array_map(array($this->db,'escapeString'),$parse); 
32.  
33.     $where = vsprintf($where,$parse); //vsprintf() 函數(shù)把格式化字符串寫入變量中 
34.  
35.   }elseif(is_object($where)){ 
36.  
37.     $where =  get_object_vars($where); 
38.  
39.   } 
40.  
41.   if(is_string($where) && '' != $where){ 
42.  
43.     $map  =  array(); 
44.  
45.     $map['_string']  =  $where; 
46.  
47.     $where =  $map; 
48.  
49.   }    
50.  
51.   //將$where賦值給$this->where 
52.  
53.   if(isset($this->options['where'])){      
54.  
55.     $this->options['where'] =  array_merge($this->options['where'],$where); 
56.  
57.   }else{ 
58.  
59.     $this->options['where'] =  $where; 
60.  
61.   } 
62.  
63.     //Vevb.com 
64.  
65.   return $this; 
66.  
67. } 

where函數(shù)的邏輯很簡單，如果是where('id=%d&name=%s',array($id,$name))這種格式，那就對$id,$name變量調(diào)用mysql里的escapeString進行處理。escapeString的實質(zhì)是調(diào)用mysql_real_escape_string、addslashes等函數(shù)進行處理。

最后將分析之后的數(shù)組賦值到Model對象的成員函數(shù)——$where中供下一步處理。

再分析find函數(shù)：

1. //model.class.php  行721  版本3.2.3 
2.  
3. public function find($options=array()) { 
4.  
5.   if(is_numeric($options) || is_string($options)){ /*如果傳遞過來的數(shù)據(jù)是字符串，不是數(shù)組*/ 
6.  
7.     $where[$this->getPk()] =  $options; 
8.  
9.     $options        =  array(); 
10.  
11.     $options['where']    =  $where; /*提取出查詢條件，并賦值*/ 
12.  
13.   } 
14.  
15.   // 根據(jù)主鍵查找記錄 
16.  
17.   $pk = $this->getPk(); 
18.  
19.   if (is_array($options) && (count($options) > 0) && is_array($pk)) { 
20.  
21.     /*構(gòu)造復(fù)合主鍵查詢條件，此處省略*/ 
22.  
23.   } 
24.  
25.   $options['limit']  =  1;                 // 總是查找一條記錄 
26.  
27.   $options      =  $this->_parseOptions($options);   // 分析表達式 
28.  
29.   if(isset($options['cache'])){ 
30.  
31.     /*緩存查詢，此處省略*/ 
32.  
33.   } 
34.  
35.   $resultSet = $this->db->select($options); 
36.  
37.   if(false === $resultSet){  return false;} 
38.  
39.   if(emptyempty($resultSet)) {  return null; }      // 查詢結(jié)果為空     
40.  
41.   if(is_string($resultSet)){  return $resultSet;}  //查詢結(jié)果為字符串 
42.  
43.   // 讀取數(shù)據(jù)后的處理，此處省略簡寫 
44.  
45.   $this->data = $this->_read_data($resultSet[0]); 
46.  
47.   return $this->data; 
48.  
49. } 

$Pk為主鍵，$options為表達式參數(shù)，本函數(shù)的作用就是完善成員變量——options數(shù)組，然后調(diào)用db層的select函數(shù)查詢數(shù)據(jù)，處理后返回數(shù)據(jù)。

跟進_parseOptions函數(shù)：

1. protected function _parseOptions($options=array()) { //分析表達式 
2.  
3.   if(is_array($options)){ 
4.  
5.     $options = array_merge($this->options,$options); 
6.  
7.   } 
8.  
9.   /*獲取表名，此處省略*/ 
10.  
11.   /*添加數(shù)據(jù)表別名，此處省略*/ 
12.  
13.   $options['model']    =  $this->name;// 記錄操作的模型名稱 
14.  
15.   /*對數(shù)組查詢條件進行字段類型檢查，如果在合理范圍內(nèi)，就進行過濾處理；否則拋出異常或者刪除掉對應(yīng)字段*/ 
16.  
17.   if(isset($options['where']) && is_array($options['where']) && !emptyempty($fields) && !isset($options['join'])){ 
18.  
19.     foreach ($options['where'] as $key=>$val){ 
20.  
21.       $key = trim($key); 
22.  
23.       if(in_array($key,$fields,true)){  //如果$key在數(shù)據(jù)庫字段內(nèi)，過濾以及強制類型轉(zhuǎn)換之 
24.  
25.         if(is_scalar($val)) {  
26.  
27.         /*is_scalar 檢測是否為標(biāo)量。標(biāo)量是指integer、float、string、boolean的變量，array則不是標(biāo)量。*/     
28.  
29.           $this->_parseType($options['where'],$key); 
30.  
31.         } 
32.  
33.       }elseif(!is_numeric($key) && '_' != substr($key,0,1) && false === strpos($key,'.') && false === strpos($key,'(') && false === strpos($key,'|') && false === strpos($key,'&')){ 
34.  
35.         // 如果$key不是數(shù)字且第一個字符不是_，不存在.(|&等特殊字符 
36.  
37.         if(!emptyempty($this->options['strict'])){  //如果是strict模式，拋出異常 
38.  
39.           E(L('_ERROR_QUERY_EXPRESS_').':['.$key.'=>'.$val.']'); 
40.  
41.         }   
42.  
43.         unset($options['where'][$key]); //unset掉對應(yīng)的值 
44.  
45.       } 
46.  
47.     } 
48.  
49.   }  
50. //Vevb.com 
51.   $this->options =  array();      // 查詢過后清空sql表達式組裝 避免影響下次查詢 
52.  
53.   $this->_options_filter($options);    // 表達式過濾 
54.  
55.   return $options; 
56.  
57. } 

本函數(shù)的結(jié)構(gòu)大概是，先獲取了表名，模型名，再對數(shù)據(jù)進行處理：如果該條數(shù)據(jù)不在數(shù)據(jù)庫字段內(nèi)，則做出異常處理或者刪除掉該條數(shù)據(jù)。否則，進行_parseType處理。parseType此處不再跟進，功能為:數(shù)據(jù)類型檢測,強制類型轉(zhuǎn)換包括int,float,bool型的三種數(shù)據(jù)。

函數(shù)運行到此處，就該把處理好的數(shù)據(jù)傳到db層的select函數(shù)里了。此時的查詢條件$options中的int,float,bool類型的數(shù)據(jù)都已經(jīng)進行了強制類型轉(zhuǎn)換，where（）函數(shù)中的字符串（非數(shù)組格式的查詢）也進行了addslashes等處理。

繼續(xù)追蹤到select函數(shù)，就到了driver對象中了，還是先列舉幾個有用的成員變量：

1. // 數(shù)據(jù)庫表達式 
2.  
3. protected $exp = array('eq'=>'=','neq'=>'<>','gt'=>'>','egt'=>'>=','lt'=>'<','elt'=>'<=','notlike'=>'NOT LIKE','like'=>'LIKE','in'=>'IN','notin'=>'NOT IN','not in'=>'NOT IN','between'=>'BETWEEN','not between'=>'NOT BETWEEN','notbetween'=>'NOT BETWEEN'); 
4.  
5. // 查詢表達式 
6.  
7. protected $selectSql = 'SELECT%DISTINCT% %FIELD% FROM %TABLE%%FORCE%%JOIN%%WHERE%%GROUP%%HAVING%%ORDER%%LIMIT% %UNION%%LOCK%%COMMENT%'; 
8.  
9. // 當(dāng)前SQL指令 
10.  
11. protected $queryStr  = ''; 
12.  
13. // 參數(shù)綁定 
14.  
15. protected $bind     =  array(); 
16.  
17. select函數(shù)： 
18.  
19. public function select($options=array()) { 
20.  
21.   $this->model =  $options['model']; 
22.  
23.   $this->parseBind(!emptyempty($options['bind'])?$options['bind']:array()); 
24.  
25.   $sql  = $this->buildSelectSql($options); 
26.  
27.   $result  = $this->query($sql,!emptyempty($options['fetch_sql']) ? true : false); 
28.  
29.   return $result; 
30.  
31. } 

版本3.2.3經(jīng)過改進之后，select精簡了不少。parseBind函數(shù)是綁定參數(shù)，用于pdo查詢，此處不表。

buildSelectSql（）函數(shù)及其后續(xù)調(diào)用如下：

1. public function buildSelectSql($options=array()) { 
2.  
3.   if(isset($options['page'])) { 
4.  
5.     /*頁碼計算及處理，此處省略*/ 
6.  
7.   } 
8.  
9.   $sql =  $this->parseSql($this->selectSql,$options); 
10.  
11.   return $sql; 
12.  
13. } 
14.  
15. /* 替換SQL語句中表達式*/ 
16.  
17. public function parseSql($sql,$options=array()){ 
18.  
19.   $sql  = str_replace( 
20.  
21.     array('%TABLE%','%DISTINCT%','%FIELD%','%JOIN%','%WHERE%','%GROUP%','%HAVING%','%ORDER%','%LIMIT%','%UNION%','%LOCK%','%COMMENT%','%FORCE%'), 
22.  
23.     array( 
24.  
25.       $this->parseTable($options['table']), 
26.  
27.       $this->parseDistinct(isset($options['distinct'])?$options['distinct']:false), 
28.  
29.       $this->parseField(!emptyempty($options['field'])?$options['field']:'*'), 
30.  
31.       $this->parseJoin(!emptyempty($options['join'])?$options['join']:''), 
32.  
33.       $this->parseWhere(!emptyempty($options['where'])?$options['where']:''), 
34.  
35.       $this->parseGroup(!emptyempty($options['group'])?$options['group']:''), 
36.  
37.       $this->parseHaving(!emptyempty($options['having'])?$options['having']:''), 
38.  
39.       $this->parseOrder(!emptyempty($options['order'])?$options['order']:''), 
40.  
41.       $this->parseLimit(!emptyempty($options['limit'])?$options['limit']:''), 
42.  
43.       $this->parseUnion(!emptyempty($options['union'])?$options['union']:''), 
44.  
45.       $this->parseLock(isset($options['lock'])?$options['lock']:false), 
46.  
47.       $this->parseComment(!emptyempty($options['comment'])?$options['comment']:''), 
48. //Vevb.com 
49.       $this->parseForce(!emptyempty($options['force'])?$options['force']:'') 
50.  
51.     ),$sql); 
52.  
53.   return $sql; 
54.  
55. } 

可以看到，在parseSql中用正則表達式拼接了sql語句，但并沒有直接的去處理各種插敘你的數(shù)據(jù)格式，而是在解析變量的過程中調(diào)用了多個函數(shù)，此處拿parseWhere舉例子。

1. protected function parseWhere($where) { 
2.  
3.   $whereStr = ''; 
4.  
5.   if(is_string($where)) {   // 直接使用字符串條件 
6.  
7.     $whereStr = $where; 
8.  
9.   } 
10.  
11.   else{            // 使用數(shù)組表達式 
12.  
13.     /*設(shè)定邏輯規(guī)則，如or and xor等，默認為and，此處省略*/ 
14.  
15.     $operate=' AND '; 
16.  
17.     /*解析特殊格式的表達式并且格式化輸出*/ 
18.  
19.     foreach ($where as $key=>$val){ 
20.  
21.       if(0===strpos($key,'_')) {  // 解析特殊條件表達式 
22.  
23.         $whereStr  .= $this->parseThinkWhere($key,$val); 
24.  
25.       } 
26.  
27.       else{            // 查詢字段的安全過濾 
28.  
29.         $multi = is_array($val) && isset($val['_multi']); //判斷是否有復(fù)合查詢 
30.  
31.         $key  = trim($key); 
32.  
33.         /*處理字段中包含的| &邏輯*/ 
34.  
35.         if(strpos($key,'|')) { // 支持 name|title|nickname 方式定義查詢字段 
36.  
37.           /*將|換成or，并格式化輸出，此處省略*/ 
38.  
39.         } 
40.  
41.         elseif(strpos($key,'&')){ 
42.  
43.           /*將&換成and，并格式化輸出，此處省略*/ 
44.  
45.         } 
46.  
47.         else{ 
48.  
49.           $whereStr .= $this->parseWhereItem($this->parseKey($key),$val); 
50.  
51.         } 
52.  
53.       } 
54.  
55.       $whereStr .= $operate; 
56.  
57.     } 
58.  
59.     $whereStr = substr($whereStr,0,-strlen($operate)); 
60.  
61.   } 
62.  
63.   return emptyempty($whereStr)?'':' WHERE '.$whereStr; 
64.  
65. } 
66.  
67. // where子單元分析 
68.  
69. protected function parseWhereItem($key,$val) { 
70.  
71.   $whereStr = ''; 
72.  
73.   if(is_array($val)){ 
74.  
75.     if(is_string($val[0])){ 
76.  
77.       $exp  =  strtolower($val[0]); 
78.  
79.       //如果是$map['id']=array('eq',100)一類的結(jié)構(gòu)，那么解析成數(shù)據(jù)庫可執(zhí)行格式 
80.  
81.       if(preg_match('/^(eq|neq|gt|egt|lt|elt)$/',$exp)){ 
82.  
83.         $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]); 
84.  
85.       } 
86.  
87.       //如果是模糊查找格式 
88.  
89.       elseif(preg_match('/^(notlike|like)$/',$exp)){// 模糊查找,$map['name']=array('like','thinkphp%'); 
90.  
91.         if(is_array($val[1])) { //解析格式如下：$map['b'] =array('notlike',array('%thinkphp%','%tp'),'AND'); 
92.  
93.           $likeLogic =  isset($val[2])?strtoupper($val[2]):'OR';  //如果沒有設(shè)定邏輯結(jié)構(gòu)，則默認為OR 
94.  
95.           if(in_array($likeLogic,array('AND','OR','XOR'))){ 
96.  
97.             /* 根據(jù)邏輯結(jié)構(gòu)，組合語句，此處省略*/ 
98.  
99.             $whereStr .= '('.implode(' '.$likeLogic.' ',$like).')';              
100.  
101.           } 
102.  
103.         } 
104.  
105.         else{ 
106.  
107.           $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($val[1]); 
108.  
109.         } 
110.  
111.       }elseif('bind' == $exp ){ // 使用表達式，pdo數(shù)據(jù)綁定 
112.  
113.         $whereStr .= $key.' = :'.$val[1]; 
114.  
115.       }elseif('exp' == $exp ){ // 使用表達式 $map['id'] = array('exp',' IN (1,3,8) '); 
116.  
117.         $whereStr .= $key.' '.$val[1]; 
118.  
119.       }elseif(preg_match('/^(notin|not in|in)$/',$exp)){ //IN運算 $map['id'] = array('not in','1,5,8'); 
120.  
121.         if(isset($val[2]) && 'exp'==$val[2]){ 
122.  
123.           $whereStr .= $key.' '.$this->exp[$exp].' '.$val[1]; 
124.  
125.         }else{ 
126.  
127.           if(is_string($val[1])) { 
128.  
129.              $val[1] = explode(',',$val[1]); 
130.  
131.           } 
132.  
133.           $zone   =  implode(',',$this->parseValue($val[1])); 
134.  
135.           $whereStr .= $key.' '.$this->exp[$exp].' ('.$zone.')'; 
136.  
137.         } 
138.  
139.       }elseif(preg_match('/^(notbetween|not between|between)$/',$exp)){ //BETWEEN運算 
140.  
141.         $data = is_string($val[1])? explode(',',$val[1]):$val[1]; 
142.  
143.         $whereStr .= $key.' '.$this->exp[$exp].' '.$this->parseValue($data[0]).' AND '.$this->parseValue($data[1]); 
144.  
145.       }else{ //否則拋出異常 
146.  
147.         E(L('_EXPRESS_ERROR_').':'.$val[0]); 
148.  
149.       } 
150.  
151.     } 
152.  
153.     else{  //解析如：$map['status&score&title'] =array('1',array('gt','0'),'thinkphp','_multi'=>true); 
154.  
155.       $count = count($val); 
156.  
157.       $rule = isset($val[$count-1]) ? (is_array($val[$count-1]) ? strtoupper($val[$count-1][0]) : strtoupper($val[$count-1]) ) : '' ;  
158.  
159.       if(in_array($rule,array('AND','OR','XOR'))){ 
160.  
161.         $count = $count -1; 
162.  
163.       }else{ 
164.  
165.         $rule  = 'AND'; 
166.  
167.       } 
168.  
169.       for($i=0;$i<$count;$i++){ 
170.  
171.         $data = is_array($val[$i])?$val[$i][1]:$val[$i]; 
172.  
173.         if('exp'==strtolower($val[$i][0])) { 
174.  
175.           $whereStr .= $key.' '.$data.' '.$rule.' '; 
176.  
177.         }else{ 
178.  
179.           $whereStr .= $this->parseWhereItem($key,$val[$i]).' '.$rule.' '; 
180.  
181.         } 
182.  
183.       } 
184.  
185.       $whereStr = '( '.substr($whereStr,0,-4).' )'; 
186.  
187.     } 
188.  
189.   } 
190.  
191.   else { 
192.  
193.     //對字符串類型字段采用模糊匹配 
194.  
195.     $likeFields  =  $this->config['db_like_fields']; 
196.  
197.     if($likeFields && preg_match('/^('.$likeFields.')$/i',$key)) { 
198.  
199.       $whereStr .= $key.' LIKE '.$this->parseValue('%'.$val.'%'); 
200.  
201.     }else { 
202.  
203.       $whereStr .= $key.' = '.$this->parseValue($val); 
204.  
205.     } 
206.  
207.   } 
208.  
209.   return $whereStr; 
210.  
211. } 
212.  
213. protected function parseThinkWhere($key,$val) {   //解析特殊格式的條件 
214.  
215.   $whereStr  = ''; 
216.  
217.   switch($key) { 
218.  
219.     case '_string':$whereStr = $val;break;                 // 字符串模式查詢條件 
220.  
221.     case '_complex':$whereStr = substr($this->parseWhere($val),6);break;  // 復(fù)合查詢條件 
222.  
223.     case '_query':// 字符串模式查詢條件 
224.  
225.       /*處理邏輯結(jié)構(gòu)，并且格式化輸出字符串，此處省略*/ 
226.  
227.   } 
228.  
229.   return '( '.$whereStr.' )'; 
230.  
231. } 

上面的兩個函數(shù)很長，我們再精簡一些來看：parseWhere首先判斷查詢數(shù)據(jù)是不是字符串，如果是字符串，直接返回字符串，否則，遍歷查詢條件的數(shù)組，挨個解析。

由于TP支持_string，_complex之類的特殊查詢，調(diào)用了parseThinkWhere來處理，對于普通查詢，就調(diào)用了parseWhereItem。

在各自的處理過程中，都調(diào)用了parseValue，追蹤一下，其實是用了addslashes來過濾，雖然addslashes在非utf-8編碼的頁面中會造成寬字節(jié)注入，但是如果頁面和數(shù)據(jù)庫均正確編碼的話，還是沒什么問題的。