sql注入 tp框架 Yii

yii和tp框架如何预防SQL注入

小新
209
2021-02-19 13:46:36
栏目: 编程语言

yii和tp框架如何预防SQL注入

yii和tp框架预防SQL注入的方法:

一、yii框架

在对应文件中添加以下代码进行调用:

/* 防sql注入,xss攻击*/

function actionClean($str)

{

$str=trim($str);

$str=strip_tags($str);

$str=stripslashes($str);

$str=addslashes($str);

$str=rawurldecode($str);

$str=quotemeta($str);

$str=htmlspecialchars($str);

//去除特殊字符

$str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);

$str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符

return $str;

}

//防止sql注入

public function actionFilterArr($arr)

{

if(is_array($arr)){

foreach($arr as $k => $v){

$arr[$k] = $this->actionFilterWords($v);

}

}else{

$arr = $this->actionFilterWords($arr);

}

return $arr;

}

//防止xss攻击

public function actionFilterWords($str)

{

$farr = array(

"/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",

"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

"/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

);

$str = preg_replace($farr,'',$str);

return $str;

}

//防止sql注入,xss攻击(2)

public function post_check($post) {

if(!get_magic_quotes_gpc()) {

foreach($post as $key=>$val){

$post[$key] = addslashes($val);

}

}

foreach($post as $key=>$val){

//把"_"过滤掉

$post[$key] = str_replace("_", "\_", $val);

//把"%"过滤掉

$post[$key] = str_replace("%", "\%", $val); //sql注入

$post[$key] = nl2br($val);

//转换html

$post[$key] = htmlspecialchars($val); //xss攻击

}

return $post;

}

二、tp框架

1.系统底层对于数据安全方面本身进行了相应的防范机制,例如:

$User = M("User"); // 实例化User对象

$User->find($_GET["id"]);

2.查询条件进行预处理,where方法使用字符串条件时,进行安全过滤,并支持两种方式传入预处理参数,例如:

$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

// 或者

$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

0
看了该问题的人还看了