thinkphp 3.2预防sql注入、对查询的sql过滤
来源:互联网 发布:知乎 宋茜 编辑:程序博客网 时间:2024/05/18 09:14
thinkphp 3.2预防sql注入、对查询的sql过滤
对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理 (real_escape_string,mysql_escape_string),如果你采用PDO方式的话,还支持参数绑定。
通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入。
要有效的防止SQL注入问题,我们建议:
查询条件尽量使用数组方式,这是更为安全的方式;
如果不得已必须使用字符串查询条件,使用预处理机制;
使用自动验证和自动完成机制进行针对应用的自定义过滤;
如果环境允许,尽量使用PDO方式,并使用参数绑定。
查询条件预处理
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
// 或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
//或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。
对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理 (real_escape_string,mysql_escape_string),如果你采用PDO方式的话,还支持参数绑定。
通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入。
要有效的防止SQL注入问题,我们建议:
查询条件尽量使用数组方式,这是更为安全的方式;
如果不得已必须使用字符串查询条件,使用预处理机制;
使用自动验证和自动完成机制进行针对应用的自定义过滤;
如果环境允许,尽量使用PDO方式,并使用参数绑定。
查询条件预处理
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
// 或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
//或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。
0 0
- thinkphp 3.2预防sql注入、对查询的sql过滤
- 模糊查询LIKE语句的SQL注入预防
- 模糊查询LIKE语句的SQL注入预防
- sql注入预防
- sql注入预防
- 如何预防SQL注入
- sql注入和预防
- 预防JSP的SQL注入问题
- 预防sql注入安全的函数
- 预防sql注入安全的函数
- 关于怎么预防sql注入的方法
- Spring MVC里面的预防 SQL 注入
- .NET预防SQL注入的简易代码
- 简单的sql注入及预防
- 预防SQL注入漏洞函数
- 预防SQL注入式攻击
- Joomla中预防SQL注入
- PHP之预防sql注入
- hashmap原理
- CI框架路由去掉index.php
- Fiddler工作原理、使用场景
- [学习笔记]kd-tree
- 安卓icon图标大小标准,以及mdpi等对应放置的图片大小
- thinkphp 3.2预防sql注入、对查询的sql过滤
- Gilde 用法缓冲
- mysql死锁问题分析
- Android App应用程序实现自动更新
- 开发中用到的有用的网址
- 苹果企业开发账号申请三步走
- 关于UEdit在编辑时老是弹窗提示UEdit已启用
- Git与TortoiseGit基本操作
- 解决从SVN导入maven项目pom.xml无法下载的问题