TP5框架 《防sql注入、防xss攻击》

最新推荐文章于 2024-04-27 15:40:54 发布
最新推荐文章于 2024-04-27 15:40:54 发布
阅读量1.3w 收藏 28
点赞数 4
分类专栏: TP5 后端 php 文章标签: tp5 防sql注入 防xss攻击 变量过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23375733/article/details/86606630
版权
后端 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
php
17 篇文章 0 订阅
订阅专栏
TP5
6 篇文章 0 订阅
订阅专栏

如题:tp5怎么防sql注入 xss跨站脚本攻击呢?

其实很简单,TP框架中有自带的,在 application/config.php 中有个配置选项:

框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则:

// 默认全局过滤方法 用逗号分隔多个
'default_filter' => 'htmlspecialchars,addslashes,strip_tags',

htmlspecialchars:防XSS攻击,尖括号等转义过滤

addslashes:防SQL注入,在每个双引号(")前添加反斜杠

strip_tags:剥去字符串中的 HTML 标签

把这些参数加上后,每次请求后端的接口中,框架就会对请求的变量进行自动过滤了。

 

也可以在获取变量的时候添加过滤方法,例如:

Request::instance()->get('name','','htmlspecialchars'); // 获取get变量 并用htmlspecialchars函数过滤Request::instance()->param('username','','strip_tags'); // 获取param变量 并用strip_tags函数过滤Request::instance()->post('name','','org\Filter::safeHtml'); // 获取post变量 并用org\Filter类的safeHtml方法过滤

可以支持传入多个过滤规则,例如:

Request::instance()->param('username','','strip_tags,strtolower'); // 获取param变量 并依次调用strip_tags、strtolower函数过滤

 如果当前不需要进行任何过滤的话,可以使用(V5.0.3+版本) ps: 这个方法测试了下,好像没有起作用,你们也可以试下

 Request::instance()->get('name','',false); // 获取get变量 并且不进行任何过滤 即使设置了全局过滤

如果有用到富文本编辑器或其他类似的提交html标签的变量,可以使用:

 htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号)成为 &
  • " (双引号)成为 "
  • ' (单引号)成为 '
  • < (小于)成为 <
  • > (大于)成为 >

htmlspecialchars_decode() 函数把预定义的 HTML 实体转换为字符。

会被解码的 HTML 实体是:

  • & 解码成 & (和号)
  • " 解码成 " (双引号)
  • ' 解码成 ' (单引号)
  • < 解码成 < (小于)
  • > 解码成 > (大于)

htmlspecialchars_decode() 函数是 htmlspecialchars() 函数的反函数。

涛々
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
tp中如何止mysql注入_ThinkPHP5漏洞分析之SQL注入(一)
weixin_27010489的博客
01-30 1373
本系列文章将针对 ThinkPHP 的历史漏洞进行分析,今后爆出的所有 ThinkPHP 漏洞分析,也将更新于 ThinkPHP-Vuln 项目上。本篇文章,将分析 ThinkPHP 中存在的 SQL注入漏洞 ( insert 方法注入)。漏洞概要本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的...
tp5sql注入mysql_使用TP框架仿sql攻击注入
weixin_28863779的博客
02-22 1337
仿sql注入SEO:1,如果优化的话title部分是非常重要的,用来优化我们网站的关键字的搜索引擎会根据关键字对你的网站归类,如果网站权重高的话,当用户搜索关键字的时候,会先看到你的网站2,日与网站---指向英文的网站,说明日语的网站给英文的投了一票,如果给英语的网站投的票越多,说明英文的网站越好SQL注入:1,建一个用户登录的表单select()会查询出所有的记录find()只会查询一条记录...
thinkphp6的注入
文鑫
10-24 2016
注入
ThinkPHP5 SQL注入漏洞&&敏感信息泄露漏洞
最新发布
weixin_45653478的博客
04-27 695
ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。
server多笔记录拼接字符串 sql_代码审计 | ThinkPHP5漏洞分析之SQL注入(五)
weixin_42360967的博客
01-01 141
本系列文章将针对 ThinkPHP 的历史漏洞进行分析,今后爆出的所有 ThinkPHP 漏洞分析,也将更新于 ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln) 项目上。本篇文章,将分析 ThinkPHP 中存在的 SQL注入漏洞 ( orderby 方法注入)。漏洞概要本次漏洞存在于 Builder 类的 parseOrde...
tp 框架sql注入
qq_42217190的博客
06-24 464
在 application/config.php 中有个配置选项 框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则 则会调用这些函数 自动过滤 // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars,addslashes,strip_tags', htmlspecialchars:XSS攻击,尖括号等转义过滤 addslashes:SQL注入,在每个双引号(")前添加反斜杠 strip_tags:剥去字符.
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1984
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
Thinkphp框架下有关富文本编辑器XSS攻击御措施
similing的博客
05-22 2129
最近在用富文本编辑器,查了好多XSS攻击的代码,都感觉不怎么好用。首先这些方法都是过滤非法字符或者字符串,标签字符串千变万化,难于过滤全面、其次过滤后的代码甚至会丧失正常功能。因此我考虑只取我们需要的部分。 摒弃了过滤法,我考虑使用标签分析法。 参考了百度UEditor前端的过滤方法,它将允许标签的tag和属性列了出来并作以保留(白名单)。因此我也考虑使用白名单法: allowPara...
艺术展览(使用tp5框架构建)
03-25
9. 安全性:TP5提供了SQL注入护、XSS攻击范、CSRF(跨站请求伪造)御等安全机制,保护网站免受常见攻击。 10. 性能优化:TP5支持缓存机制、路由缓存、模型预加载等功能,有助于提升系统性能。 在“arts1”这...
DSShop单店铺TP5框架B2C开源商城源码 v1.3基于Think
06-10
TP5框架本身就对SQL注入XSS攻击等有很好的护,而源码的开源也意味着社区可以共同发现并修复潜在的安全问题。同时,通过缓存机制、代码优化等手段,提升系统响应速度。 7. **扩展性与升级**:由于DSShop是基于TP...
TP5框架安全机制实例分析
12-18
本文将深入探讨TP5框架的安全机制,重点在于SQL注入和表单合法性检测。 **SQL注入** SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意SQL代码来操纵数据库。在TP5中,有以下两种方法来止这种攻击:...
ThinkPHP2.x范XSS跨站攻击的方法
12-19
本文实例讲述了ThinkPHP2.x范XSS跨站攻击的方法。分享给大家供大家参考。具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script。 原理: http://ask.lenovo.com.cn/index.php?s=1<body+onload=alert(1)> 其中m的值是一个不存在的module,同时是一个完全的script,在异常错误页面中被执行实现XSS跨站攻击。 范方法: 找到异常错误页面模板ThinkExcepti
DSShop单店铺TP5框架B2C开源商城源码 v1.4
10-07
DSShop作为电商系统,对数据安全有较高的要求,包括用户隐私保护、支付安全、SQL注入XSS攻击等方面,确保商家和用户的交易安全。 在"压缩包子文件的文件名称列表"中,"DSShop1.4"可能包含了该系统的源代码、...
tp5框架的seo计费系统
01-18
8. 安全性:作为一款在线应用,系统的安全性至关重要,包括SQL注入XSS攻击等,确保用户数据安全。 9. 更新与维护:考虑到SEO策略会随搜索引擎算法更新而变化,系统需要有持续更新和维护的能力,以适应最新的...
php项目如何止CSRF(跨站攻击)
resilient的博客
11-17 476
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 御CSRF攻击: 目前御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。 (1)
谈谈TP5渗透攻击的一些经验
心有猛虎,细嗅蔷薇!
04-23 3270
概述: TP5是优秀的轻量级PHP开发框架,为我们的开发提供了很多便捷。但是有时候TP5一些默认配置很容易忽视,不然会导致渗透攻击,本文我来分享一下我的一些小经验 问题列表: 1、关闭调试模式 调试模式为我们开发人员发现错误,查找错误提供了非常友好且便捷的显示方式。但是也为渗透攻击提供了方便,因此我们需要除了测试环境下,其他环境必须关闭该模式。具体位置为config/app.php(根据你的项目...
php 过滤变量,thinkphp6 输入变量过滤
weixin_36372623的博客
03-10 2029
thinkphp6 输入变量过滤官方文档地址:变量过滤框架默认没有设置任何全局过滤规则,你可以在app\Request对象中设置filter全局过滤属性:namespace app;class Request extends \think\Request{protected $filter = ['htmlspecialchars'];}也支持使用Request对象进行全局变量的获取过滤过滤方式...
【Web漏洞探索】跨站脚本漏洞
kjcxmx的博客
08-03 3973
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
thinkphp 3.2预sql注入、对查询的sql过滤
tingliting的专栏
01-04 6706
thinkphp 3.2预sql注入、对查询的sql过滤         对于WEB应用来说,SQL注入攻击无疑是首要范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的范机制,例如:             $User = M("User"); // 实例化User对象             $User->find($_GET["id"]);     
网络安全简答题 2.docx
11-09
这些问题旨在帮助理解网络安全中的关键概念和技术,包括SQL注入XSS攻击的分类及其御措施、CSRF攻击的工作原理、文件上传漏洞、DDoS攻击、ARP协议及其安全问题、DNS解析原理、RIP协议及其缺点、OSPF协议和工作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值