TP5框架 《防sql注入、防xss攻击》

最新推荐文章于 2024-04-27 15:40:54 发布
最新推荐文章于 2024-04-27 15:40:54 发布
阅读量1.3w 收藏 28
点赞数 4
分类专栏: TP5 后端 php 文章标签: tp5 防sql注入 防xss攻击 变量过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23375733/article/details/86606630
版权
后端 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
php
17 篇文章 0 订阅
订阅专栏
TP5
6 篇文章 0 订阅
订阅专栏

如题:tp5怎么防sql注入 xss跨站脚本攻击呢?

其实很简单,TP框架中有自带的,在 application/config.php 中有个配置选项:

框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则:

// 默认全局过滤方法 用逗号分隔多个
'default_filter' => 'htmlspecialchars,addslashes,strip_tags',

htmlspecialchars:防XSS攻击,尖括号等转义过滤

addslashes:防SQL注入,在每个双引号(")前添加反斜杠

strip_tags:剥去字符串中的 HTML 标签

把这些参数加上后,每次请求后端的接口中,框架就会对请求的变量进行自动过滤了。

 

也可以在获取变量的时候添加过滤方法,例如:

Request::instance()->get('name','','htmlspecialchars'); // 获取get变量 并用htmlspecialchars函数过滤Request::instance()->param('username','','strip_tags'); // 获取param变量 并用strip_tags函数过滤Request::instance()->post('name','','org\Filter::safeHtml'); // 获取post变量 并用org\Filter类的safeHtml方法过滤

可以支持传入多个过滤规则,例如:

Request::instance()->param('username','','strip_tags,strtolower'); // 获取param变量 并依次调用strip_tags、strtolower函数过滤

 如果当前不需要进行任何过滤的话,可以使用(V5.0.3+版本) ps: 这个方法测试了下,好像没有起作用,你们也可以试下

 Request::instance()->get('name','',false); // 获取get变量 并且不进行任何过滤 即使设置了全局过滤

如果有用到富文本编辑器或其他类似的提交html标签的变量,可以使用:

 htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号)成为 &
  • " (双引号)成为 "
  • ' (单引号)成为 '
  • < (小于)成为 <
  • > (大于)成为 >

htmlspecialchars_decode() 函数把预定义的 HTML 实体转换为字符。

会被解码的 HTML 实体是:

  • & 解码成 & (和号)
  • " 解码成 " (双引号)
  • ' 解码成 ' (单引号)
  • < 解码成 < (小于)
  • > 解码成 > (大于)

htmlspecialchars_decode() 函数是 htmlspecialchars() 函数的反函数。

涛々
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
thinkphp6的注入
文鑫
10-24 2026
注入
tp5sql注入mysql_使用TP框架仿sql攻击注入
weixin_28863779的博客
02-22 1337
仿sql注入SEO:1,如果优化的话title部分是非常重要的,用来优化我们网站的关键字的搜索引擎会根据关键字对你的网站归类,如果网站权重高的话,当用户搜索关键字的时候,会先看到你的网站2,日与网站---指向英文的网站,说明日语的网站给英文的投了一票,如果给英语的网站投的票越多,说明英文的网站越好SQL注入:1,建一个用户登录的表单select()会查询出所有的记录find()只会查询一条记录...
ThinkPHP5 SQL注入漏洞&&敏感信息泄露漏洞
最新发布
weixin_45653478的博客
04-27 716
ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。
php 过滤变量,thinkphp6 输入变量过滤
weixin_36372623的博客
03-10 2031
thinkphp6 输入变量过滤官方文档地址:变量过滤框架默认没有设置任何全局过滤规则,你可以在app\Request对象中设置filter全局过滤属性:namespace app;class Request extends \think\Request{protected $filter = ['htmlspecialchars'];}也支持使用Request对象进行全局变量的获取过滤过滤方式...
server多笔记录拼接字符串 sql_代码审计 | ThinkPHP5漏洞分析之SQL注入(五)
weixin_42360967的博客
01-01 142
本系列文章将针对 ThinkPHP 的历史漏洞进行分析,今后爆出的所有 ThinkPHP 漏洞分析,也将更新于 ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln) 项目上。本篇文章,将分析 ThinkPHP 中存在的 SQL注入漏洞 ( orderby 方法注入)。漏洞概要本次漏洞存在于 Builder 类的 parseOrde...
学习笔记-TP5框架学习笔记\(请求\)
人饭子的博客
11-09 495
2.请求相关 2.1 如何获取请求参数的? 首先要use一下TP写好的Request类,然后调用的话可以用很多种写法,下面是一种 <?phpnamespace app\index\controller;use think\Request;class Index // class Index extends Controller 解释如下://如果你继承了系统的控制器基类...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2029
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP代码审计
Williamanddog的博客
08-26 230
代码审计旨在识别应⽤程序中与其特性和设计相关的安全缺陷,以及产⽣缺陷的根本原因。随着应⽤程序的⽇益复杂和新技术的出现,传统的测试⽅法可能⽆法检测到应⽤程序中存在的所有安全缺陷。⼈们必须理解应⽤程序、外部组件和配置的代码,这样才能更好地发现缺陷。深⼊地研究应⽤程序代码也有助于确定可⽤于避免安全缺陷的缓解技术。审核应⽤程序源代码的过程是为了验证适当的安全和逻辑控制是否存在,它们是否按预期⼯作,以及它们是否在正确的位置被调⽤。代码安全审计允许公司确保应⽤程序开发⼈员遵循安全开发技术。
艺术展览(使用tp5框架构建)
03-25
9. 安全性:TP5提供了SQL注入护、XSS攻击范、CSRF(跨站请求伪造)御等安全机制,保护网站免受常见攻击。 10. 性能优化:TP5支持缓存机制、路由缓存、模型预加载等功能,有助于提升系统性能。 在“arts1”这...
DSShop单店铺TP5框架B2C开源商城源码 v1.3基于Think
06-10
TP5框架本身就对SQL注入XSS攻击等有很好的护,而源码的开源也意味着社区可以共同发现并修复潜在的安全问题。同时,通过缓存机制、代码优化等手段,提升系统响应速度。 7. **扩展性与升级**:由于DSShop是基于TP...
TP5框架安全机制实例分析
12-18
本文将深入探讨TP5框架的安全机制,重点在于SQL注入和表单合法性检测。 **SQL注入** SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意SQL代码来操纵数据库。在TP5中,有以下两种方法来止这种攻击:...
DSShop单店铺TP5框架B2C开源商城源码 v1.4
10-07
DSShop作为电商系统,对数据安全有较高的要求,包括用户隐私保护、支付安全、SQL注入XSS攻击等方面,确保商家和用户的交易安全。 在"压缩包子文件的文件名称列表"中,"DSShop1.4"可能包含了该系统的源代码、...
tp5框架的seo计费系统
01-18
8. 安全性:作为一款在线应用,系统的安全性至关重要,包括SQL注入XSS攻击等,确保用户数据安全。 9. 更新与维护:考虑到SEO策略会随搜索引擎算法更新而变化,系统需要有持续更新和维护的能力,以适应最新的...
ThinkPHP2.x范XSS跨站攻击的方法
10-23
3. **使用安全的编程模式**:如使用参数化查询或预编译语句,避免SQL注入攻击,因为它们也可能成为XSS攻击的间接入口。 4. **启用HTTP头部安全策略**:如Content-Security-Policy,限制浏览器只执行指定来源的脚本。...
TP5后台管理系统.rar
06-05
1. **安全护**:对输入数据进行过滤和验证,SQL注入XSS攻击。 2. **错误处理和日志记录**:完善异常处理机制,记录系统运行状态,便于调试和问题定位。 3. **性能优化**:如缓存技术、数据库索引优化等,...
tp5.0.3框架多商户开源商城
03-24
9. **安全性与权限控制**:采用安全机制SQL注入XSS攻击,同时对不同角色进行权限划分,保护用户和平台的数据安全。 10. **多语言与多货币支持**:适应全球化市场,提供多语言切换和货币转换功能。 文档`...
【Web漏洞探索】跨站脚本漏洞
kjcxmx的博客
08-03 3977
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
thinkphp 3.2预sql注入、对查询的sql过滤
tingliting的专栏
01-04 6707
thinkphp 3.2预sql注入、对查询的sql过滤         对于WEB应用来说,SQL注入攻击无疑是首要范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的范机制,例如:             $User = M("User"); // 实例化User对象             $User->find($_GET["id"]);     
谈谈TP5渗透攻击的一些经验
心有猛虎,细嗅蔷薇!
04-23 3275
概述: TP5是优秀的轻量级PHP开发框架,为我们的开发提供了很多便捷。但是有时候TP5一些默认配置很容易忽视,不然会导致渗透攻击,本文我来分享一下我的一些小经验 问题列表: 1、关闭调试模式 调试模式为我们开发人员发现错误,查找错误提供了非常友好且便捷的显示方式。但是也为渗透攻击提供了方便,因此我们需要除了测试环境下,其他环境必须关闭该模式。具体位置为config/app.php(根据你的项目...
SQL注入XSS攻击护技术指南
"SQL注入XSS攻击御技术白皮书" SQL注入是一种常见的网络安全威胁,攻击者通过在用户输入的数据中插入恶意的SQL语句,从而控制或操纵后台数据库。这种攻击方式通常发生在Web应用程序中,尤其是那些没有对用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值