YII2框架学习 安全篇(四) sql注入攻击和防范

最新推荐文章于 2023-04-12 09:37:53 发布
最新推荐文章于 2023-04-12 09:37:53 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: YII框架学习 文章标签: sql注入 框架 php yii 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37645820/article/details/73555542
版权

先看百度百科的介绍,SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。其实防范在基础篇数据库操作讲过一点,今天好好的专门讲一讲。

来看一个例子:

select * from articles where score<60 and title like '%' or 1=1 --%'

这个搜索语句将无视搜索条件,因为or 1=1 是永远成立的。怎么应对呢,两种方法,第一:屏蔽关键字,or之类的,但是这种方法并不是很好的方式,如果用户搜索内容本来就有or的话就不行了。第二种方式是对搜索内容加\转义,但是在某些情况下会被绕过转义。php的函数addslashes()方法可以实现转义,在搜索内容前面加上chr(0xdf)就可以绕开的。

普通的方法都不靠谱,来看看YII框架是如何防止sql注入的。其实在基础篇数据库操作讲过,通过使用PDO占位符的方式,比如:where('name=:name',[':name'=>'zhangsan'])。在查询过程中,实际上是两条指令过去的,彻底的把查询语句和内容分开,可以说是没有漏洞的方法。而PDO的实现过程,我转载了一篇写得比较好的文章,有兴趣的可以看看。


另外 PHP防SQL注入不要再用addslashes和mysql_real_escape_string了   http://blog.csdn.net/hornedreaper1988/article/details/43520257 也值得一看

混血王子1996
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii框架防止sql注入,xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击与csrf攻击防范方法与相关函数调用注意事项,需要的朋友可以参考下
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1710
yii2框架 反序列化漏洞复现
Yii2数据安全查询,防止sql注入漏洞
xmlife的专栏
12-18 9874
1 $id = Yii::$app->request->get('id','');//get获取参数 1.1 直接把获取的$id代入(有问题) 1 2 3 4 5 $sql     = "SELECT * FROM   tab WHERE id = {$id}"; $db
所有Yii2 版本 反序例化漏洞修复
笨鸟的博客
11-24 736
什么是反序列化漏洞 也叫PHP对象注入漏洞形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。这个漏洞并不是PHP特有,在Java、Python其他语言也存在,原理基本相通。 比较典型的PHP反序化漏洞可能会用到的魔术方法 1.void __wakeup(void) 2.void __construct ([ mixed $args [, $... ]]) ...
YII2框架学习 安全(一) XSS攻击防范(上)
混血王子的博客
06-15 2455
在如今的web开发中,网络安全信息安全应该是最重要的一环。常见的攻击主要有类,XSS攻击、CSRF攻击SQL注入和文件上传漏洞。在接下来的安全里,我会依次说明YII框架是如何应对这些攻击的。本学习的就是XSS攻击防范之存储。 XSS攻击的意思是跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8004
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
[CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)
Landasika的博客
05-17 1214
目录 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)一、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后、WEB_267 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148) 一、什么是Yii 参考官网 https://ww...
使用yii2.0,如何让自己的项目安全最大化,具体步骤是怎样的?
长风破浪会有时的博客
04-12 100
文件上传是一个常见的安全漏洞攻击者可以上传包含恶意代码的文件来实现攻击,例如上传包含 PHP 代码的文件、包含 XSS 脚本的图片等。CSRF(跨站请求伪造)是一种常见的 Web 攻击方式,攻击者可以通过构造特定的请求来伪造用户的操作,例如在用户未经授权的情况下发表评论、修改密码等。另外,也需要及时更新框架、组件和依赖库,以避免已知的安全漏洞。总之,保障 Yii2.0 项目的安全性需要从多个方面入手,包括加强访问控制、强化密码安全、防止 CSRF 攻击、增强文件上传安全和加强代码安全等。
YII2框架安全
woshihaiyong168的博客
11-10 2723
YII2框架真的是一款十分强大的框架,相对于TP和CI来说,功能更加完善,更加安全 那么我们在功能完成的同时,安全是重中之重 下面我们就来看看YII框架中有哪些加密的方法!!       1、首先我们在做用户密码加密的时候我们一般都会采用md5来进行加密,在YII2框架中有一个加密方式比md5更加复杂      //哈希加密 $password="123"; $hash =
for dianming system
bonlog的专栏
10-20 692
-- phpMyAdmin SQL Dump -- version 3.5.2.2 -- http://www.phpmyadmin.net -- -- Host: 127.0.0.1 -- Generation Time: Oct 20, 2014 at 11:05 AM -- Server version: 5.5.27 -- PHP Version: 5.4.7 SET SQL_MODE=
Yii注入攻击笔记
09-09
Yii注入攻击笔记,本人开发多年作的笔记
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
yii2Yii 2:快速,安全和专业PHP框架
02-04
Yii 2是一个现代框架,旨在为您PHP应用程序奠定坚实的基础。 它是快速,安全和高效的,并且可以使用合理的默认值开箱即用地工作。 该框架易于调整以满足您的需求,因为Yii的设计灵活。安装Yii最低要求PHP版本是...
Yii2框架加载css和js文件的方法分析
10-16
主要介绍了Yii2框架加载css和js文件的方法,结合实例形式简单分析了Yii框架加载css和js文件的相关操作技巧与注意事项,需要的朋友可以参考下
YII2框架学习 基础(二) YII2数据库操作
混血王子的博客
06-04 6717
实际项目中PHP肯定离不开数据库,YII框架有很多针对数据库的操作,学习一下。学习YII框架数据库指令的同时,也可以学到YII框架的数据模型,一石二鸟啊。另外,昨天发布了第一后,发现有几十个人看了我的http://blog.csdn.net/m0_37645820/article/details/72855543,YII2框架学习 基础(一)。自己看了看,排版太差了,以后好好写。 1.xma
YII2框架学习 基础(一)
混血王子的博客
06-03 6434
YII2框架作为现在比较流行的重型框架,最近利用端午和本周的时间对其进行了学习。对学习的总结一下,重点有二。其一是mvc结构的学习。其二是此框架对数据库的操作。          一,YII2框架是典型的MVC结构,即数据模型,视图和处理器模块。利用XAMPP在本地建站后,从www.yiichina.com下载源码,IDE为phpstorm。搭建完毕之后进到http://localhost/ba
YII2框架学习 高效(三) 片段缓存与页面缓存
混血王子的博客
06-11 5547
实际网站建设中,对于不经常改变的部分(比如商品目录)可以使用片段缓存的技术进行缓存。 先来一个小例子,通过beginCache()和endCache()方法实现 <?php if( $this->beginCache('cache_div')) { ?> 缓存adad <?php $this->endCache(); } ?>
YII2框架学习 高效(一) 延迟加载
混血王子的博客
06-08 5052
高效是YII框架的一个特点,在对YII框架的基础进行了学习之后,当然也要对YII框架是如何达到高效运行进行学习。首先针对YII的延迟加载进行学习 1. 类的延迟加载 在原生php中,我们一般是之间把所需的类直接全部require加载。但是,某一次的页面加载不一定会用到所有的类(比如加了if判断等等),如果可以在这个类确定用到之前再加载,想必可以使页面更高效。而YII就提供了spl_autolo
YII2框架学习 高效) http缓存
混血王子的博客
06-12 4633
前面学习了几种YII框架里面的缓存,今天继续新的学习。当用户在较短时间内多次通过浏览器向服务器发送数据请求时(比如抢票,抢购),如果服务器每次都完整回复的话,势必影响服务器的性能。为了应对这种情况,YII框架提供了http缓存的解决方案。大致过程就是,服务器向浏览器发送数据时,附上该数据的特征码(etag)或者时间(lastModified),在浏览器下次向服务器发送改请求时,附上这段信息。如果检
vscode开发yii2框架php教程
最新发布
05-01
使用vscode开发yii2框架php项目十分便利和高效。以下是一些简要步骤和注意事项: 1. 安装Yii2框架和相关依赖 在终端或命令行中使用composer安装Yii2框架和相关依赖。命令如下: composer create-project --prefer-dist yiisoft/yii2-app-basic myproject 2. 安装vscode插件 在vscode插件市场中搜索php插件,安装并启用。例如:PHP IntelliSense、PHP Debug等。 3. 配置环境 在项目的根目录下创建.env文件,配置数据库连接信息等环境变量。 4. 使用vscode进行代码编写和调试 使用vscode打开项目文件夹,右侧“调试”选项卡有“启动调试”按钮,选择“PHP”选项即可开始断点调试。 5. 使用Yii2框架进行开发 根据yii2的MVC框架开发,编写控制器和视图文件等。 6. 部署项目 在终端或命令行中使用Yii2提供的命令进行项目的部署和发布。 需要注意的是,开发Yii2项目需要一定的PHP和MVC框架的基础知识,需要熟悉yii2框架的文档和指南。同时,vscode的插件和环境配置也需要按照官方文档指导进行。最后,为了保证代码质量和安全性,需要注意代码风格和数据安全等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值