关于同时设置 VAR_FILTERS 和 DEFAULT_FILTER 造成数据二次过滤的BUG

最新推荐文章于 2022-04-02 16:14:27 发布
最新推荐文章于 2022-04-02 16:14:27 发布
阅读量2.5k 收藏
点赞数
分类专栏: PHP

关于同时设置 VAR_FILTERS 和 DEFAULT_FILTER 造成数据二次过滤的BUG

 






当配置文件同时定义了这两项配置常量时,例如:
  1. 'VAR_FILTERS' => 'htmlspecialchars',  // 全局系统变量的默认过滤方法
  2.  'DEFAULT_FILTER' => 'htmlspecialchars', // 默认参数过滤方法
复制代码
此时获取来的$_POST是进行过一次 C('VAR_FILTERS') 过滤的,与此同时,获取的$this->_post('xxx')是对$_POST数据进行C('DEFAULT_FILTER')过滤,导致数据二次过滤问题。即使用$this->_post('xxx', false)也是获取到已经进行C('VAR_FILTERS')过滤的内容。


还有一点,在App.class.php中参数过滤的方法是
  1. if(C('VAR_FILTERS')) {
  2.             $filters    =   explode(',',C('VAR_FILTERS'));
  3.             foreach($filters as $filter){
  4.                 // 全局参数过滤
  5.                 array_walk_recursive($_POST,$filter);
  6.                 array_walk_recursive($_GET,$filter);
  7.             }
  8.         }
复制代码
此时配置信息
  1. 'VAR_FILTERS' => 'htmlspecialchars',  // 全局系统变量的默认过滤方法
复制代码
会发现参数死活不过滤

修改配置信息为
  1. 'VAR_FILTERS' => 'h',  // 全局系统变量的默认过滤方法
复制代码
同时新增function h 为
  1. function h(&$str){
  2.     $str = htmlspecialchars($str, ENT_QUOTES);
  3.  }
复制代码
即可过滤。


===============================================

ThinkPHP函数详解:C方法

C方法是ThinkPHP用于设置、获取,以及保存配置参数的方法,使用频率较高。
了解C方法需要首先了解下ThinkPHP的 配置 ,因为C方法的所有操作都是围绕配置相关的。ThinkPHP的配置文件采用PHP数组格式定义。
由于采用了函数重载设计,所以用法较多,我们来一一说明下。
设置参数   
C('DB_NAME','thinkphp');
表示设置DB_NAME配置参数的值为thinkphp,由于配置参数不区分大小写,所以下面的写法也是一样: 
C('db_name','thinkphp');
但是建议保持统一大写的配置定义规范。
项目的所有参数在未生效之前都可以通过该方法动态改变配置,最后设置的值会覆盖前面设置或者惯例配置里面的定义,也可以使用参数配置方法添加新的配置。
支持二级配置参数的设置,例如: 
C('USER.USER_ID',8);
配置参数不建议超过二级。
如果要设置多个参数,可以使用批量设置,例如: 
$config['user_id'] = 1;
$config['user_type'] = 1;
C($config);
如果C方法的第一个参数传入数组,就表示批量赋值,上面的赋值相当于: 
C('USER_ID',1);
C('USER_TYPE',1);

获取参数  
要获取设置的参数,可以用: 
$userId = C('USER_ID');
$userType = C('USER_TYPE');
如果USER_ID参数尚未定义过,则返回NULL。
也可以支持获取二级配置参数,例如: 
$userId = C('USER.USER_ID');
如果传入的配置参数为空,表示获取全部的参数: 
$config = C();

保存设置  
3.1版本增加了一个永久保存设置参数的功能,仅针对批量赋值的情况,例如: 
$config['user_id'] = 1;
$config['user_type'] = 1;
C($config,'name');
在批量设置了config参数后,会连同当前所有的配置参数保存到缓存文件(或者其他配置的缓存方式)。
保存之后,如果要取回保存的参数,可以用 
$config = C('','name');
其中name就是前面保存参数时用的缓存的标识,必须一致才能正确取回保存的参数。取回的参数会和当前的配置参数合并,无需手动合并。

===============================================

PHP array_walk_recursive() 函数

PHP Array 函数

定义和用法

与 array_walk() 函数 类似,array_walk_recursive() 函数对数组中的每个元素应用回调函数。不一样的是,如果原数组中的元素也是数组,就会递归地调用回调函数,也就是说,会递归到更深层的数组中去。

典型情况下,function 接受两个参数。array 参数的值作为第一个,键名作为第二个。如果提供了可选参数 userdata ,将被作为第三个参数传递给回调函数。

如果回调函数需要直接作用于数组中的值,可以将回调函数的第一个参数指定为引用,这样对这些单元的任何改变也将会改变原始数组本身。

语法

array_walk_recursive(array,function,userdata)
参数 描述
array 必需。规定数组。
function 必需。用户自定义函数的名称。
userdata 可选。用户输入的值,可作为回调函数的参数。



rongwenbin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TP5的自动过滤方法
是日已过,命亦随减的博客
10-15 2154
'default_filter' => 'htmlspecialchars,strip_tags,stripslashes,htmlentities', htmlspecialchars:防XSS攻击,尖括号等转义过滤 strip_tags:剥去字符串中的 HTML 标签
thinkphp 页面提交参数的过滤(转义)
热门推荐
07-19 2万+
thinkphp I函数 正则表达式 参数过滤转义
PHP过滤filter_has_var() 函数用法实例分析
10-15
主要介绍了PHP过滤filter_has_var() 函数用法,结合实例形式分析了PHP过滤filter_has_var() 函数基本功能、原理、用法及操作注意事项,需要的朋友可以参考下
ThinkPHP框架安全实现分析
zl20117的博客
12-13 458
ThinkPHP框架安全实现分析 ThinkPHP框架是国内比较流行的PHP框架之一,虽然跟国外的那些个框架没法比,但优点在于,恩,中文手册很全面。最近研究SQL注入,之前用TP框架的时候因为底层提供了安全功能,在开发过程中没怎么考虑安全问题。 一、不得不说的I函数 TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据,比如I('get.')、I('pos
TP5.1 tp6 设置任何全局过滤规则(trim去掉input两端空格)
php菜鸟技术天地
06-30 1万+
框架默认没有设置任何全局过滤规则,你可以在应用配置文件中设置全局的过滤规则:// 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars',官方文档:https://www.kancloud.cn/manual/thinkphp5_1/353987一、修改路径:\config\app.php'default_filter'...
XSS攻击
qq7027的博客
12-15 2402
XSS攻击
filter指定过滤不起作用
weixin_50386926的博客
08-04 2547
springboot中,自定义了一个filter,但是不起作用, 原因:去掉@component注解即可,另外urlPatterns的url需要注意----->应该是: /*/*,
default过滤
程序员杂谈
04-19 871
使用方式'{{ value | default('默认值')}}'。如果Value 这个‘key’不存在,那么就会使用‘default过滤器提供的默认值。如果你想使用类似于‘python’中判断某个值是否为false(例如:none,空字符串、空列表、空字典),那么就必须传递另外一个参数‘{{value | default ('默认值',boolean = True)}}’可以使用‘or’来替代...
TP5 变量过滤
BaoYi的博客
09-22 2303
对获取的变量进行过滤...
R.rar_R数据分析_var_var模型_时序分析 金融_金融风险
07-15
金融数据的 R 分析,包括线性模型,时序分析,波动率分析,VaR 风险分析等。
dq28070913.zip_ APF_ Active Filter_APF matlab_filter_matlab VAR
07-13
Active power filter (APF) matlab simulation file,static VAR compensator
Matlab code for VaR.zip_VaR和matlab_VaR的matlab实现_VaR计算方法_codevar_
07-14
给出了通过MATLAB计算VaR的各种方法和实例
tp5.1 防止XSS攻击的方法
php菜鸟技术天地
05-31 1041
本篇文章介绍了设置TP防止XSS攻击的方法,希望对学习ThinkPHP的朋友有帮助! ThinkPHP防止XSS攻击的方法 1 如果您的项目没有富文本编辑器 然后就可以使用全局过滤方法 在application下面的config配置文件 加上 htmlspecialchars 1 2 // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars', 如果有富文本编辑器的话 就不适合 使用这种防XSS攻击 (推荐教程:thinkphp教程) 那么使用
tp5设置参数全局过滤
LordForce的博客
04-02 1157
thinkPHP5设置参数全局过滤
tp5 防sql注入,防xss攻击
qq_54721207的博客
12-02 582
框架默认没有设置任何过滤规则 可以配置文件中设置全局的过滤规则config.php配置选项default_filter添加以下代码即可 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'trim,strip_tags,addslashes,htmlspecialchars', ...
Tp5设置参数全局过滤方法
李维山的博客
08-07 2121
在配置文件 config.php 中配置: // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars,addslashes,strip_tags',
thinkphp 函数详解
huojiahui22的博客
05-04 588
ThinkPHP的 I 方法是3.1.3版本新增的,如果你是之前的3.*版本的话,可以直接参考使用 3.1快速入门教程系列的变量部分。概述 正如你所见到的一样,I方法是ThinkPHP众多单字母函数中的新成员,其命名来自于英文Input(输入),主要用于更加方便和安全的获取系统输入变量,可以用于任何地方,用法格式如下:I('变量类型.变量名',['默认值'],['过滤方法'])变量类型是指
【ThinkPHP】过滤函数设置
dzp443366的专栏
11-19 2340
'DEFAULT_FILTER' => 'htmlspecialchars'//设置默认过滤方法 AjaxReturn Ajax的回调函数 F() F函数用于把数组写进文件 可以用于重写配置文件
tp5.1的避免转义输出与 PHP htmlspecialchars() 函数
滴水石穿
03-31 848
其中htmlentities方法是系统默认添加的(无需手动指定。为了避免出现XSS安全问题,默认的变量输出都会使用htmlentities方法进行转义输出。 你还可以设置默认的过滤方法,在配置文件template.php中设置default_filter’ => ‘htmlspecialchars’ 就会默认使用htmlspecialchars方法过滤输出。 如果你不需要转义(例如你需要输出html表格等内容),可以使用: {$data.name|raw} 编译后的结果是: <?php ec
设置预测期数为10,基于现有数据data,用varvar_model来预测后面时期
最新发布
06-09
好的,针对你的问题,我可以给出以下的Python代码示例: ```python import pandas as pd from statsmodels.tsa.api import VAR # 读取数据,假设数据已经整理好并保存至csv文件中 data = pd.read_csv('data.csv', index_col=0, parse_dates=True) # 创建 VAR 模型 model = VAR(data) # 拟合 VAR 模型,假设预测期数为10 results = model.fit(maxlags=15, ic='aic') pred = results.forecast(data.values[-15:], 10) # 输出预测结果 print(pred) ``` 上述代码中,我们首先读取了保存在 `data.csv` 文件中的数据,并将其转换为 pandas DataFrame 对象。然后,我们创建了一个 VAR 模型对象,将数据传递给该对象进行拟合。在拟合模型时,我们设置了 `maxlags=15`,即最大滞后阶数为15,同时使用 AIC 准则(`ic='aic'`)来选择最优的滞后阶数。最后,我们使用 `forecast` 方法来预测后面的10个时期,并将预测结果存储在 `pred` 变量中。 需要注意的是,上述代码只是一个简单的示例,实际上在进行时间序列预测时,还需要进行很多数据预处理、模型调参等工作,才能得到准确的预测结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值