2024-07-16 05:15:56 | 我爱编程网
注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.
代码举例:
//不安全的写法举例1
$_GET['id']=8;//希望得到的是正整数
$data=M('Member')->where('id='.$_GET['id'])->find();
$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;
//安全的替换写法
$data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入
$data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束
$data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换
$data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法
$data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定
$data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制
//不安全的写法举例2
$_GET['id']=8;//希望得到的是正整数
$data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句
$_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;
2.防止注入的总的原则是<<根据具体业务逻辑,对来源于用户的值的范围,类型和正负等进行限制和判断>>,同时<<尽量使用THINKPHP自带的SQL函数和写法>>.
3.在THINKPHP3.2版本中的操作步骤是:
一:在项目配置文件中添加配置: 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子:M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.
4.为COOKIE添加httponly配置 我爱编程网
5.最新版本的thinkphp已经支持此参数。
6.HTML5值得观注的新特性:
9.富文本过滤
富文本过滤是,XSS攻击最令人头疼的话题,不仅是小网站,就连BAT这样的巨头也是三天两头的被其困扰.
我爱编程网(https://www.52biancheng.com)小编还为大家带来PHP代码网站如何防范SQL注入漏洞攻击建议分享的相关内容。
做为网络开发者的你对这种黑客行为恨之入骨,当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库。今天就通过PHP和MySQL数据库为例,分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议。php中哪些函数不可以执行系统命令php中有2种函数是不可以执行系统命令的。根据查询相关公开信息显示,2种函数是assert,exception=0时,Warning:assert():assert(1==2)。Deprecated:assert():Callingassert()withastringargumentisdeprecated。php禁用函数删除后还是提示运行动态加载
php随机数函数在PHP中,随机数(RandomNumber)是指一组伪随机数(Pseudo-randomNumber),即看起来随机的数字序列,但实际上是由一个算法生成的。PHP提供了一些内置函数,可以用来生成伪随机数,这些函数可以用于各种应用程序,如游戏、密码学、模拟等。以下是一些PHP中常用的生成随机数的函数:1、rand()函数:生成一个指定范围内的随机整数。例如
用自己的语言说出php中数组的常用函数和用法?array_filter:过滤数组中的无效元素,可以使用回调函数过滤array_map:使用回调函数依次处理所有元素implode:将一维数组转为特定符号隔开的字符串,explode: 将特定符号隔开的字符串转为一维数组sort/ksort:将数组进行升序排序array_unique:将数组元素去重array
用PHP定义一个函数,返回3个参数中的最大值?可以使用以下代码定义一个函数,返回3个参数中的最大值:functionfindMax($num1,$num2,$num3){$max=$num1;if($num2>$max){$max=$num2;}if($num3>$max){$max=$num3;}return$max;}该函数接受3个
PHP直接调用函数和调用另外一个文件中的函数的区别//如果是PHP文件中的函数,唯一的区别是:先引入外部文件,然后直接调用。//如果是外部类文件中的函数,需要引入,然后new 对象后,再调用该对象的函数。$msg=test_msg();function test_msg(){echo "";}//调用外部文件中的函数//首先引入文件include_once 'file.php';$msg=t
php如何定义一个函数函数是完成一个特定功能的代码集合,可以分为系统函数和用户函数。用户可以通过创建自定义函数实现特定需要。1.函数定义语法结构:PHP中允许用户使用function关键字创建一个自定义函数。语法结构:function函数名称(参数1,参数2,...){//函数内的代码}PHP对函数名称的限制比较少,可以是以字母或下划线开头后跟字母、下划线或数字的
超常用的PHP正则表达式收集整理以下就是对超常用的PHP正则表达式进行的收集整理,为了方便大家更快更好的掌握php正则表达式。一、表单验证匹配验证账号,字母开头,允许5-16字节,允许字母数字下划线:^[a-zA-Z][a-zA-Z0-9_]{4,15}$验证账号,不能为空,不能有空格,只能是英文字母:^\S+[a-zA-Z]$验证账号,不能有空格,不能非数字:^
if函数怎么用?if三个条件写公式:条件1:第一个条件,如果为真,则返回结果1。条件2:第二个条件,如果条件1为假并且条件2为真,则返回结果2。条件3:第三个条件,如果条件1和条件2都为假,并且条件3为真,则返回结果3。=IF(A1>=90,“A”IF,A1>=80,“B”,IF,A1>=70,“C”,“D)。IF函数一般是指程序设计或Excel等软件中的条件函
2023-12-24 20:21:11
2024-04-13 17:18:48
2024-04-10 07:43:02
2024-04-09 17:44:01
2024-04-04 05:10:44
2024-03-31 15:14:06