Yii防止sql注入、xxs方法
2014-04-04 12:45
441 查看
sql注入的解决办法有好几种。最简单的就是用param binding,请阅读PHP PDO获得相关知识。如果知道id是整数,也可以先把输入强制为整数。或者如果id是字串,可以用CDbConnection::quoteValue()把输入加上引号。如果你用的是AR,那么save()函数自动会使用param binding。如果你用findAll()之类的函数,自己生成condition部分,那就要特别小心不要直接嵌入输入。
XSS攻击主要是要避免直接显示用户的输入数据。例如echo $user->description(假设description的数据来自用户的输入)。恶意用户可以让id为一段js代码,使得其它用户查看该页面后隐式执行该代码,从而被恶意用户获得登录cookie等安全信息。解决办法很简单,就是用CHtml::encode()。如果输入是HTML,可以用CHtmlPurifier::purify()来过滤有害代码。
XSS攻击主要是要避免直接显示用户的输入数据。例如echo $user->description(假设description的数据来自用户的输入)。恶意用户可以让id为一段js代码,使得其它用户查看该页面后隐式执行该代码,从而被恶意用户获得登录cookie等安全信息。解决办法很简单,就是用CHtml::encode()。如果输入是HTML,可以用CHtmlPurifier::purify()来过滤有害代码。
相关文章推荐
- Yii框架防止sql注入,xss攻击与csrf攻击的方法
- Yii框架防止sql注入,xss攻击与csrf攻击的方法
- Yii框架防止sql注入,xss攻击与csrf攻击的方法
- 转:PHP中防止SQL注入的方法
- php中防止SQL注入的方法
- 防止sql注入方法 如何防止java中将MySQL的数据库验证密码加上 ' or '1'= '1 就可以出现万能密码 的PreparedStatement
- T-SQL篇如何防止SQL注入的解决方法
- PHP防止SQL注入的方法
- .net程序防止sql注入的方法
- 防止SQL注入的五种方法
- php中防止SQL注入的方法
- php 防止sql注入的简单方法
- 输入值/表单提交参数过滤有效防止sql注入的方法
- 防止SQL注入的五种方法
- ASP.NET防止Sql注入的解决方法
- 防止sql注入的三种方法
- php中防止SQL注入的方法[转载]
- 对sql注入和防止"or"="or"的修复方法!
- ASP.net防止SQL注入方法
- PHP最全防止sql注入方法