### 2018 年 10 月 21 日 发布 继`5.1.26`版本发布了安全更新之后,官方也同时修正了`5.0`和`3.2`版本的聚合查询存在的安全隐患。 >[danger] 该安全隐患是在当开发者使用聚合查询的时候,聚合字段由用户输入则可能会造成SQL注入。 感谢补天安全平台的白帽子给ThinkPHP报告的安全漏洞(漏洞编号:QTVA-2018-875927),虽然该漏洞的实际利用价值并不高,因此大家不需要担心,还是那句话,做好安全规范就能避免大部分的安全隐患。 官方此前整理过一篇《[ThinkPHP安全规范指引](https://blog.thinkphp.cn/789333)》,希望引起广大开发者的重视。 >[danger] 要注意的是,此次`3.2`版本的安全更新为官方最后一个更新版本,后续官方将正式停止对`3.2`版本的支持以及安全更新。`5.0`版本目前已经处于安全维护阶段,直到2019年12月底。在此之后,`5.0`的维护也将结束。我们建议您尽快计划迁移到较新的`5.1`版本。 此次更新的版本包括`5.0.22`版本和`3.2.5`版本。 ## V5.0.22 该版本主要增加了`JSON`日志格式的支持,并且包含了一个安全更新,支持上一个版本的无缝升级。 * 调试模式下关闭路由解析缓存 * 改进Log类支持`json`日志格式 * 改进聚合查询的安全性 * 改进`count`查询的返回值类型 ## V3.2.5 该更新主要改进了聚合查询的安全性,由于`3.2`版本已经停止更新,如果觉得有必要,请通过`Git`进行更新,或者参考`Github`上的提交自己进行修正。