thinkphp3.2预防sql注入及对查询的sql过滤

    thinkphp3.2预防sql注入、对查询的sql过滤

        对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:

            $User = M("User"); // 实例化User对象
            $User->find($_GET["id"]); 

        即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理 (real_escape_string,mysql_escape_string),如果你采用PDO方式的话,还支持参数绑定。

        通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入。

        要有效的防止SQL注入问题,我们建议:


                查询条件尽量使用数组方式,这是更为安全的方式;
                如果不得已必须使用字符串查询条件,使用预处理机制;
                使用自动验证和自动完成机制进行针对应用的自定义过滤;
                如果环境允许,尽量使用PDO方式,并使用参数绑定。

        查询条件预处理

        where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:


            $Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
            // 或者
            $Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

        模型的query和execute方法 同样支持预处理机制,例如:

            $model->query('select * from user where id=%d and status=%d',$id,$status);
            // 或者
            $model->query('select * from user where id=%d and status=%d',array($id,$status));

        execute方法用法同query方法。

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值