ThinkPHP 3.1，3.2中对IN和BETWEEN正则匹配不当导致的一个SQLi

1     // where子单元分析
2     protected function parseWhereItem($key,$val) {
3         $whereStr = '';
4         if(is_array($val)) {
5             if(is_string($val[0])) {
6                 if(preg_match('/^(EQ|NEQ|GT|EGT|LT|ELT)$/i',$val[0])) { // 比较运算
7                     $whereStr .= $key.' '.$this->comparison[strtolower($val[0])].' '.$this->parseValue($val[1]);
8                 }elseif(preg_match('/^(NOTLIKE|LIKE)$/i',$val[0])){// 模糊查找
9                     if(is_array($val[1])) {
10                         $likeLogic  =   isset($val[2])?strtoupper($val[2]):'OR';
11                         if(in_array($likeLogic,array('AND','OR','XOR'))){
12                             $likeStr    =   $this->comparison[strtolower($val[0])];
13                             $like       =   array();
14                             foreach ($val[1] as $item){
15                                 $like[] = $key.' '.$likeStr.' '.$this->parseValue($item);
16                             }
17                             $whereStr .= '('.implode(' '.$likeLogic.' ',$like).')';
18                         }
19                     }else{
20                         $whereStr .= $key.' '.$this->comparison[strtolower($val[0])].' '.$this->parseValue($val[1]);
21                     }
22                 }elseif('exp'==strtolower($val[0])){ // 使用表达式
23                     $whereStr .= ' ('.$key.' '.$val[1].') ';
24                 }elseif(preg_match('/IN/i',$val[0])){ // IN 运算
25                     if(isset($val[2]) && 'exp'==$val[2]) {
26                         $whereStr .= $key.' '.strtoupper($val[0]).' '.$val[1];
27                     }else{
28                         if(is_string($val[1])) {
29                              $val[1] =  explode(',',$val[1]);
30                         }
31                         $zone      =   implode(',',$this->parseValue($val[1]));
32                         $whereStr .= $key.' '.strtoupper($val[0]).' ('.$zone.')';
33                     }
34                 }elseif(preg_match('/BETWEEN/i',$val[0])){ // BETWEEN运算
35                     $data = is_string($val[1])? explode(',',$val[1]):$val[1];
36                     $whereStr .=  ' ('.$key.' '.strtoupper($val[0]).' '.$this->parseValue($data[0]).' AND '.$this->parseValue($data[1]).' )';
37                 }else{
38                     throw_exception(L('_EXPRESS_ERROR_').':'.$val[0]);
39                 }
40             }else {
41                 $count = count($val);
42                 $rule  = isset($val[$count-1])?strtoupper($val[$count-1]):'';
43                 if(in_array($rule,array('AND','OR','XOR'))) {
44                     $count  = $count -1;
45                 }else{
46                     $rule   = 'AND';
47                 }
48                 for($i=0;$i<$count;$i++) {
49                     $data = is_array($val[$i])?$val[$i][1]:$val[$i];
50                     if('exp'==strtolower($val[$i][0])) {
51                         $whereStr .= '('.$key.' '.$data.') '.$rule.' ';
52                     }else{
53                         $op = is_array($val[$i])?$this->comparison[strtolower($val[$i][0])]:'=';
54                         $whereStr .= '('.$key.' '.$op.' '.$this->parseValue($data).') '.$rule.' ';
55                     }
56                 }
57                 $whereStr = substr($whereStr,0,-4);
58             }
59         }else {
60             //对字符串类型字段采用模糊匹配
61             if(C('DB_LIKE_FIELDS') && preg_match('/('.C('DB_LIKE_FIELDS').')/i',$key)) {
62                 $val  =  '%'.$val.'%';
63                 $whereStr .= $key.' LIKE '.$this->parseValue($val);
64             }else {
65                 $whereStr .= $key.' = '.$this->parseValue($val);
66             }
67         }
68         return $whereStr;
69     }

第24行的preg_match('/IN/i',$val[0])

第34行的preg_match('/BETWEEN/i',$val[0])

两个正则表达式没有设置起始，因此xxxinxxxx，xxxbetweenxxx的字符串都可以匹配成功，因而构成了注入。