SQL注入如何防?
TP中的底层已经做了防SQL注入的操作,只要我们操作数据库时使用TP提供给我们的方法就不会有问题,如添加商品时我们调用了add方法。唯一要注意的就是如果我们自己拼SQL执行时就要自己来过滤了。
总结:如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考虑PHP服务器有没有开启自动过滤的功能,如果服务器已经开启自动过滤的功能我们就不能再过滤,只有没有开启时才需要手动过滤:
注意:
1.不要两次过滤,原先是在单引号前加转义符,如果两次过滤就是\\',就失去了原来的意义的。
2.以前有一种写法是直接在输入框加个;分号,然后再写一句SQL语句,这种方法对asp有效,但是对php无效,因为php默认每次只能执行一条sql语句。
防XSS跨站脚本攻击:
1.使用htmlspecialchars函数进行过滤;
注意:
PHP5.3中这个函数有了第二个参数,设置了第二个参数会将单引号转换为'这样的实体,也可以防止SQL注入,因为这个符号对SQL并没有什么卵用。
用法:
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
?>
2.这里要注意一点,对于富文本编辑器的内容要特殊过滤,保留HTML和CSS这些内容,把script标签及其里面的内容删除;
3.特殊过滤(有选择性的过滤),采用第三方插件,Htmlpurifier
// 过滤XSS
function clearXSS($string)
{
require_once './htmlpurifier/HTMLPurifier.auto.php';
// 生成配置对象
$_clean_xss_config = HTMLPurifier_Config::createDefault();
// 以下就是配置:
$_clean_xss_config->set('Core.Encoding', 'UTF-8');
// 设置允许使用的HTML标签
$_clean_xss_config->set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]');
// 设置允许出现的CSS样式属性
$_clean_xss_config->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
// 设置a标签上是否允许使用target="_blank"
$_clean_xss_config->set('HTML.TargetBlank', TRUE);
// 使用配置生成过滤用的对象
$_clean_xss_obj = new HTMLPurifier($_clean_xss_config);
// 过滤字符串
//将script标签和其里面的内容都过滤掉
return $_clean_xss_obj->purify($string);
}