thinkphp 页面提交参数的过滤(转义)

最新推荐文章于 2023-12-14 13:14:48 发布
VIP文章 最新推荐文章于 2023-12-14 13:14:48 发布
阅读量2.2w 收藏 2
点赞数 3
分类专栏: thinkphp 网页设计 文章标签: thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/china1223/article/details/51953668
版权

当使用thinkphp框架接受表达内容。

如果使用I函数获取表单数据,如I("data");这个数据是默认被过滤的。

默认的过滤方法

'DEFAULT_FILTER'        =>  'htmlspecialchars', // 默认参数过滤方法 用于I函数...

如果对输入的参数进行正则匹配,当遇到特殊字符时会出问题。

htmlspecialchars的反函数为htmlspecialchars_decode()。使用该函数可以把转义的参数再转回来。

但这并没有解决全部问题,因为不同版本的thinkphp的I函数是不一样的,而且DEFAULT_FILTER还可以设置别的值。

所以当我们确实需要获取原始数据而非转义数据时,还是使用最原始的 $_POST("PARAM");最靠谱。


但是这事还是没完。因为php里还有addslashes()函数他会过滤提交给php的参数。也就是用原始的$_POST依然要面对过滤的问题。

我可以通过get_magic_quotes_gpc()来判断是否开启了该过滤,并用stripslashes()反过滤。

不幸的是,不同版本里的php对该函数的支持依然不同,php6里该函数被取消了。


综上,你不得不再每个项目里去测试框架和php参数的过滤,以使项目按照您的意愿执行。

另外如果您的php框架使用的是gbk的编码的话,那么还会出现字符集转换的问题,但这并不代表使用utf-8字符集时不会有问题。

总之对于输入参数的过滤转义,和字符集的转化都是非常麻烦而且特例特测的事情。


测试技巧。

不要仅直接用输入和输出的方式来测试,因为这个过程可能经历了多个过滤。

使用在php文件中定义变量然后输出,测试输出没有问题,再测试$_POST,再测试I函数。

如果要确保输入的数据安全还是自己用正则表达是来过滤一般,这是最靠谱的啦。

其次I(函数)的安全性还是有的,一般情况尽量使用I(函数)

特别情况,尽量使用$_POST来处理,一方面是效率更高而且代码中区别对待可读性好,还有就是不必关心DEFAULT_FILTER参数的设置。

在php5中去反addslashes()的函数

	//去掉在引号前面自动加的:单引号('),双引号("),反斜杠(\),和NULL
function deal_quote($str){
	if(get_magic_quotes_gpc()) {
		return stripslashes($str);
	}
}

I(函数)过滤器  htmlspecialchars() & (和号)" (双引号) ' (单引号) < (小于) > (大于)
php中过滤器  addslashes()  单引号('),双引号("),反斜杠(\),和NULL

最低0.47元/天 解锁文章
china1223
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php 参数过滤、数据过滤详解
10-23
给大家介绍php参数过滤及php数据过滤,包括php提交数据过滤的基本原则,php简单的数据过滤,感兴趣的朋友一起学习吧
代码审计-8 ThinkPHP框架代码审计 2
xhscxj的博客
01-19 1521
首先对系统的功能点进行大致的了解,对系统的目录情况进行大致了解,确定ThinkPHP版本。中因为很多文件格式名称都是固定的,所以说可以通过猜解去下载重要文件。并没有通过参数绑定的方式传递,而是直接拼接到字符串中。与任意文件下载同理,没有对参数进行过滤,导致可通过。函数判断文件是否存在,如果文件存在则进行下载操作。字符串,然后根据获取的字符串不同的值展示页面。所以当使用的是参数绑定的形式时是不会产生。文件中查找连接操作数据库的方式。下载文件处存在目录遍历,可通过。语句,是不会产生注入的。
XSS攻击
qq7027的博客
12-15 2400
XSS攻击
thinkphp系统配置
looser
11-28 269
ThinkPHP提供了灵活的配置功能,采用最有效率的php返回数组定义方式。系统支持惯例配置、项目配置、分组配置、调试配置和动态配置等5种配置模式 惯例配置 > 项目配置>调试配置>分组配置>扩展配置>动态配置 配置格式: <?php return array( //'配置项' => '配置值' 'DB_TYPE' => 'mysql', //使用的数据
ThinkPHP过滤函数设置
dzp443366的专栏
11-19 2333
'DEFAULT_FILTER' => 'htmlspecialchars'//设置默认过滤方法 AjaxReturn Ajax的回调函数 F() F函数用于把数组写进文件 可以用于重写配置文件
addslashes()
MengJing_的博客
04-17 3269
php 深入理解addslashes函数 php addslashes函数对于很多人来说并不陌生,但很大部分人只是了解皮毛,只知道addslashes函数是在特定字符前面加上反斜杠,本文章将带大家深入理解php addslashes函数的使用方法。 phpaddslashes函数的作用是在预定义的字符前面加上反斜杠,这些预定义字符包括: 单引号(') 双引号...
ThinkPHP提交表单时默认自动转义的解决方法
10-25
主要介绍了ThinkPHP提交表单时默认自动转义的解决方法,可解决针对单引号和双引号的自动转移问题,提供了两种解决方法供大家对比选择,具有一定的实用价值,需要的朋友可以参考下
thinkphp5敏感词过滤
07-07
thinkphp5屏蔽词过滤类基于DFA算法,下载直接引入框架即可
ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法
10-25
主要介绍了ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法,需要的朋友可以参考下
addslashes()函数
最新发布
qq_61988806的博客
12-14 341
它通常用于准备字符串,以防止其中的字符被误解为具有特殊含义的字符。这个函数的主要用途是在构建 SQL 查询语句或其他需要转义特殊字符的上下文中,以防范一些安全问题,比如 SQL 注入。根据上面当id=\\0,传递后为\0通过addslashes()函数变成\\0。这里我们发现通过str_replace对\\0 %00 \' ' 替换为空。这里会匹配\0替换为空最后的值为\在语句中就是\'转义了'我们的值为\\0,但是真正赋值为\0(第一个\为转义符)str_replace()中表示匹配\0(第一个为转义)
tp5.1 防止XSS攻击的方法
php菜鸟技术天地
05-31 1033
本篇文章介绍了设置TP防止XSS攻击的方法,希望对学习ThinkPHP的朋友有帮助! ThinkPHP防止XSS攻击的方法 1 如果您的项目没有富文本编辑器 然后就可以使用全局过滤方法 在application下面的config配置文件 加上 htmlspecialchars 1 2 // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars', 如果有富文本编辑器的话 就不适合 使用这种防XSS攻击 (推荐教程:thinkphp教程) 那么使用
Tp5设置参数全局过滤方法
李维山的博客
08-07 2120
在配置文件 config.php 中配置: // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars,addslashes,strip_tags',
PHP的addslashes 函数详解
铁柱的博客
01-19 4684
一、前言 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;博主在接受新代码的时候,发现代码中频繁使用addslashes 这个函数,说实话,博主在之前还真没怎么用过这个函数,所以这里总结一下它的大致用法。这类安全性的函数某种意义上也代表了咱们的水平吧,能考虑到这点,并且会用就可以。 二、函数的解释 1、概念 概念请参考该博客:https://
ThinkPHP内置函数详解D、F、S、C、L、A、I
weixin_33827731的博客
01-19 280
单字母函数D、F、S、C、L、A、I 他们都在ThinkPHP核心的ThinkPHP/Mode/Api/functions.php这个文件中定义. 下面我分别说明一下他们的功能: D() 加载Model类 M() 加载Model类 A() 加载Action类 L() 获取语言定义 C() 获取配置值    用法就是   C("这里填写在配置文件里数组的下标") S() 全局缓存配置 用法S(“这里...
mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_34236986的博客
02-07 635
原标题:代码审计Day13 - 特定场合下addslashes函数的绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
TP5 变量过滤
BaoYi的博客
09-22 2295
对获取的变量进行过滤...
addslashes
songtaiwu的博客
03-06 502
在PHP中,很多时候我们需要对写入数据库的特殊字符进行转义,因为每个数据库都有不同的特殊字符,当数据库遇到这些字符的时候,代表着不同的意 义,比如MYSQL中的单引号('),若不经转义就写入数据库,很容易导致MYSQL出错。很幸运,在PHP中,提供有专门用于转义的内置函数,它就是 addslashes(),下面说下具体用法: 语法: string addslashes(string str); /...
mysql addslashes()函数_addslashes()函数绕过
weixin_35965051的博客
01-19 1557
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数了
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-09 3万+
A、首先说说htmlspecialchars()和addslashes()函数吧: 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经nul...
thinkphp 中如何去除 字符转义功能
05-27
ThinkPHP 中,可以通过在配置文件 `config.php` 中关闭自动转义来去除字符转义功能。具体操作如下: 1. 打开 `config.php` 文件,一般位于项目根目录下的 `application` 目录中。 2. 找到 `$config` 数组中的 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值