在研究Thinkphp漏洞之前，需要先了解整个框架的组成。这里我对一个thinkphp请求的生命流程从源码层面进行分析，以此熟悉这个框架。

目录结构

project  应用部署目录
├─application           应用目录（可设置）
│  ├─common             公共模块目录（可更改）
│  ├─index              模块目录(可更改)
│  │  ├─config.php      模块配置文件
│  │  ├─common.php      模块函数文件
│  │  ├─controller      控制器目录
│  │  ├─model           模型目录
│  │  ├─view            视图目录
│  │  └─ ...            更多类库目录
│  ├─command.php        命令行工具配置文件
│  ├─common.php         应用公共（函数）文件
│  ├─config.php         应用（公共）配置文件
│  ├─database.php       数据库配置文件
│  ├─tags.php           应用行为扩展定义文件
│  └─route.php          路由配置文件
├─extend                扩展类库目录（可定义）
├─public                WEB 部署目录（对外访问目录）
│  ├─static             静态资源存放目录(css,js,image)
│  ├─index.php          应用入口文件
│  ├─router.php         快速测试文件
│  └─.htaccess          用于 apache 的重写
├─runtime               应用的运行时目录（可写，可设置）
├─vendor                第三方类库目录（Composer）
├─thinkphp              框架系统目录
│  ├─lang               语言包目录
│  ├─library            框架核心类库目录
│  │  ├─think           Think 类库包目录
│  │  └─traits          系统 Traits 目录
│  ├─tpl                系统模板目录
│  ├─.htaccess          用于 apache 的重写
│  ├─.travis.yml        CI 定义文件
│  ├─base.php           基础定义文件
│  ├─composer.json      composer 定义文件
│  ├─console.php        控制台入口文件
│  ├─convention.php     惯例配置文件
│  ├─helper.php         助手函数文件（可选）
│  ├─LICENSE.txt        授权说明文件
│  ├─phpunit.xml        单元测试配置文件
│  ├─README.md          README 文件
│  └─start.php          框架引导文件
├─build.php             自动生成定义文件（参考）
├─composer.json         composer 定义文件
├─LICENSE.txt           授权说明文件
├─README.md             README 文件
├─think                 命令行入口文件

一些概念

thinkphp采用mvc的设计模式，有应用、模块等概念。

应用
应用在ThinkPHP中是一个管理系统架构及生命周期的对象，由系统的\think\App类完成。
应用通常在入口文件中被调用和执行，具有相同的应用目录（APP_PATH）的应用我们认为是同一个应用，但一个应用可能存在多个入口文件。

应用具有自己独立的配置文件、公共（函数）文件。

模块
一个典型的应用是由多个模块组成的，这些模块通常都是应用目录下面的一个子目录，每个模块都有自己独立的配置文件、公共文件和类库文件。

控制器
每个模块拥有独立的MVC类库及配置文件，一个模块下面有多个控制器负责响应请求，而每个控制器其实就是一个独立的控制器类。

控制器主要负责请求的接收，并调用相关的模型处理，并最终通过视图输出。严格来说，控制器不应该过多的介入业务逻辑处理。

操作
一个控制器包含多个操作（方法），操作方法是一个URL访问的最小单元。

下面是一个典型的Index控制器的操作方法定义，包含了两个操作方法：

生命周期

1、入口文件

用户发起的请求都会经过应用的入口文件，通常是public/index.php文件。

2、引导文件

接下来就是执行框架的引导文件，thinkphp/start.php文件就是系统默认的一个引导文件。
在引导文件中，会依次执行下面操作：

• 加载系统常量定义；
• 加载环境变量定义文件；
• 注册自动加载机制；
• 注册错误和异常处理机制；
• 加载惯例配置文件；
• 执行应用；

thinkphp/start.php引导文件首先会调用thinkphp/base.php基础引导文件，某些特殊需求下面可能直接在入口文件中引入基础引导文件。

3、注册自动加载

系统会调用Loader::register()方法注册自动加载，在这一步完成后，所有符合规范的类库（包括Composer依赖加载的第三方类库）都将自动加载。

4、注册错误和异常机制

执行Error::register()注册错误和异常处理机制。

由三部分组成：

• 应用关闭方法：think\Error::appShutdown
• 错误处理方法：think\Error::appError
• 异常处理方法：think\Error::appException

在整个应用请求的生命周期过程中，如果抛出了异常或者严重错误，均会导致应用提前结束，并响应输出异常和错误信息。

5、应用初始化

执行应用的第一步操作就是对应用进行初始化，包括：

• 加载应用（公共）配置；
• 加载扩展配置文件（由extra_config_list定义）；
• 加载应用状态配置；
• 加载别名定义；
• 加载行为定义；
• 加载公共（函数）文件；
• 注册应用命名空间；
• 加载扩展函数文件（由extra_file_list定义）；
• 设置默认时区；
• 加载系统语言包；

6、URL访问检测

应用初始化完成后，就会进行URL的访问检测，包括PATH_INFO检测和URL后缀检测。

thinkphp的路由规则是
http://serverName/index.php/模块/控制器/操作/参数/值…

如果你的环境只能支持普通方式的URL参数访问，那么必须使用
http://serverName/index.php?s=/index/index/hello&val=value

如果是命令行下面访问入口文件的话，则通过$php index.php index/index/hello/val/value...

使用$request->path();获取当前请求URL的pathinfo信息

其中使用的是Request->pathinfo()来获取的pathinfo

7、路由检测

如果开启了url_route_on参数的话，会首先进行URL的路由检测。
如果一旦检测到匹配的路由，根据定义的路由地址会注册到相应的URL调度。

如果没有开启强制路由，并且没有匹配到已定义的路由，则调用Route::parseUrl进行路由搜索

其中，使用Route::parseUrlPath解析url中的参数和变量

解析完成后，得到一个dispatch数组，其中封装了整个路由信息（类型、模块、控制器、操作）

8、分发请求

在完成了URL检测和路由检测之后，路由器会分发请求到对应的路由地址，这也是应用请求的生命周期中最重要的一个环节。

在这一步骤中，完成应用的业务逻辑及数据返回。

建议统一使用return返回数据，而不是echo输出，如非必要，请不要使用exit或者die中断执行。

最终使用App::exec方法执行分发请求

使用Route::module来执行

最终是使用的反射机制来真正调用控制器类中的方法

最终到控制器中方法的调用链如下：

9、响应输出

控制器的所有操作方法都是return返回而不是直接输出，系统会调用Response::send方法将最终的应用返回的数据输出到页面或者客户端，并自动转换成default_return_type参数配置的格式。

所以，应用执行的数据输出只需要返回一个正常的PHP数据即可。

10、应用结束
事实上，在应用的数据响应输出之后，应用并没真正的结束，系统会在应用输出或者中断后进行日志保存写入操作。

系统的日志包括用户调试输出的和系统自动生成的日志，统一会在应用结束的时候进行写入操作。

而日志的写入操作受日志初始化的影响。