phpcms只对客户端数据过行过滤,不在数据动作时转义问题与不足

最新推荐文章于 2020-10-09 09:45:16 发布
最新推荐文章于 2020-10-09 09:45:16 发布
阅读量603 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qidizi/article/details/8732425
版权

首先,发现它并不在数据库操作时进行


/**

     * 将数组转换为SQL语句

     * @param array $where 要生成的数组

     * @param string $font 连接串。

     */

    final public function sqls($where, $font = ' AND ') {

        if (is_array($where)) {

            $sql = '';

            foreach ($where as $key=>$val) {

                $sql .= $sql ? " $font `$key` = '$val' " : " `$key` = '$val'";

            }

            return $sql;

        } else {

            return $where;

        }

    }


这是一种很蠢的做法.如果二次开发人并没有对这步提前了解,那么,它如果手动拼凑出的数据包含特别字符,那么就会导致出错或是漏洞问题.这不会不可能吧?


然后这么做话.就得自己看数据是否原样,如果不是,就得再次对此数据进行转义,这就麻烦了.

qidizi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpcms v9数据表结构
03-20
phpcms v9数据表结构,数据库中所有的表名、作用、列名以及注释详解
php 转义、防转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入等等
weixin_42262935的博客
03-23 483
一、转义或者转换的目的 1. 转义或者转换字符串防止sql注入 2. 转义或者转换字符防止html非过滤引起页面布局变化 3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式 二、函数 1. addslashes($str); 此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符) 转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函
PHPCms内容页设置不转义JavaScript标签的修改方法
reshuibing的博客
10-09 269
phpcms版本:V9.6.3 在文件 \caches\caches_model\caches_data\content_input.class.php phpcms\modules\content\fields\content_input.class.php 中找到下列语句: function get($data,$isimport = 0) { $this->data = $data = trim_script($data); 修改为: function get($data,$i
PHPCMS V9 使str_cut可以输出html源代码
thy专栏
11-21 2192
PHPCMS V9 的str_cut函数相比substr可以截断UTF-8而不出现乱码,但它会将都转义,从而让最终的html标记直接显示了出来,而如果用 strip_tags 预处理,也只是去掉了所有的html标记。我希望又能输出html源代码,又能正常截断。于是将str_cut修改了一下。 直接上代码,主要思路是将替换为,这样可以避免与html标记冲突。 /**
phpcms html 特殊字符转换
王安的博客
02-23 584
原文地址: html 特殊字符转换">phpcms  html 特殊字符转换作者:王小安如果用户 数据中含有html 格式特殊字符   new_html_special_chars()  方法将  字符串中html 特殊字符转换成html编码格式
微信小程序下拉加载和上拉刷新两种实现方法
qq_39702981的博客
11-16 826
方法一:onPullDownRefresh和onReachBottom方法实现小程序下拉加载和上拉刷新 首先要在json文件里设置window属性             属性   类型                           描述 enablePullDownRefresh Boolean 是否开启下拉刷新,详见页面相关事件处理函数。 设置js里o...
phpcms内容详情页只显示日期不显示间的方法
09-29
主要介绍了phpcms内容详情页只显示日期不显示间的方法,即格式化间输出的方法,需要的朋友可以参考下
phpcms v9栏目列表从N条开始选择性调用数据的方法
09-29
主要介绍了phpcms v9栏目列表从N条开始选择性调用数据的方法 ,需要的朋友可以参考下
phpcms调用getJSON无法返回json数据的解决方法
09-29
今天遇到一个getJSON的问题,回调函数一直无法执行,检查了生成的json数据的格式绝对没问题,getJSON的js语法也没问题,但就是alert不出来传回的数据。原来是phpcms的check_hash()函数对远程调用的方法进行了安全...
[文件数据]PHPCMS 文件管理器(原Longbill文件管理器) v4.03_phpcms_file_manager_403
03-15
[文件数据]PHPCMS 文件管理器(原Longbill文件管理器) v4.03_phpcms_file_manager_403[文件数据]PHPCMS 文件管理器(原Longbill文件管理器) v4.03_phpcms_file_manager_403 1.适合个人搭建网站项目参考 2.适合学生毕业...
PHPCMSV9标签TAGS全静态化教程(中文转义编码改成拼音显示,有图有案例)
前端和PHP学习
11-10 640
PHPCMS V9标签TAGS全静态化教程(中文转义编码改成拼音显示,有图有案例) PHPCMS默认的TAGS连接样式是中文转义编码的,如下图所示。 对于做SEO的朋友是一个大忌。 下面是经过程序修改后的效果,根据中文自动转换成拼音,对SEO的效果是非常好!路径清晰明了。 下图是在Tags列表页显示出所有Tags列表,增加了搜索引擎蜘蛛爬行的入口。 蜘蛛可以从多个入口进行爬行,...
一个高效的敏感词过滤方法(PHP)
网络剑客
04-28 9588
$badword = array( '张三','张三丰','张三丰田' ); $badword1 = array_combine($badword,array_fill(0,count($badword),'*')); $bb = '我今天开着张三丰田上班'; $str = strtr($bb, $badword1); echo $str; $hei=array( '中国', '
UltraGrid过滤后的所有行
道法自然
08-23 1536
List rows = this.ultraGridDrug.Rows.Where(p => p.IsFilteredOut == false).ToList();//选择过滤数据的代码
php防止SQL注入详解及防范
生而为人我很抱歉
07-13 1631
一个是没有对输入的数据进行过滤过滤输入),还有一个是没有对发送到数据库的数据进行转义转义输出)。这两个重要的步骤缺一不可,需要同加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: Username: Password: 作为一
phpcms v9输出内容过滤html代码 - 代码篇
草巾冒小子的博客
04-29 1783
phpcms v9输出内容过滤html代码 - 代码篇 代码: //已过滤 {str_cut(strip_tags($r['content']),330,'…')} //未过滤 {str_cut($r[content],330,'······')} 效果截图:
C# 添加敏感词
a18770840362的博客
06-12 151
public class CheckStreamReader { //使用的数据: private static HashSet<string> hash = new HashSet<string>(); private byte[] fastCheck = new byte[char.M...
phpcms功能真的很强大
liuxiaoguangliuxiao的专栏
03-24 360
   phpcms的功能真的很强大,的确它也存在着很多的bug,但却无法抹杀它功能上的强大。
phpcms 怎样实现PC端、手机端的双模版
草巾冒小子的博客
07-02 3122
phpcms 怎样实现电脑,手机访问自动调用不同模板而URL地址不变? 说到此处,不得不联系到 phpcms中关于“ 设备类型的检测与判断 ” 的实现? 以上就是关于“ phpcms 怎样实现电脑,手机访问自动调用不同模板而URL地址不变 ” 的全部内容。 ...
phpcms v9模型查询 用listinfo方法如何返回指定的字段数据
最新发布
06-12
PHPCMS v9 的模型中,可以使用 `$this->listinfo()` 方法来查询数据,并通过传递参数来指定要返回的字段。具体方法如下: ```php // 查询字段 $fields = '字段1,字段2,字段3'; // 查询条件 $where = array('...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值