PHP以其易用性和可移植性正被广泛应用于WEB开发。然而，在我们使用的过程中，也要十分小心，从随处可见的XSS（新浪微博发送大量垃圾信息事件）到前段时间爆出来的Hash冲突的DDOS攻击，最近，wooyun上面发布了一个关于ThinkPHP框架的漏洞（最新版已经修复），以前也是我用过的第一个框架，昨晚花时间重现了一下，查阅了下程序的原理。本文主要来重现该漏洞，然后分析代码，给出漏洞的原因，用这个漏洞去检验可能对系统造成的破坏，最后总结，防范的方法。