yii2模糊查询并且防SQL注入

最新推荐文章于 2021-03-12 08:54:41 发布
最新推荐文章于 2021-03-12 08:54:41 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: yii2 文章标签: yii
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36373262/article/details/53665691
版权
 

yii2模糊查询并且防SQL注入

标签: yii2 SQL注入模糊查询
2016-07-25 12:45  756人阅读  评论(0)  收藏  举报
  分类:

版权声明:本文为博主原创文章,未经博主允许不得转载。

博主前天在修改之前的网站代码时,因为之前写代码完全没有考虑过网站安全,所以对最基本的防SQL注入没有任何预防,所以需要对网站代码很多地方都要进行修改。而yii2框架对防SQL注入提供了接口,所以修改起来并不困难。但是当修改到使用了模糊查询的搜索功能时,出现了错误。

      这是原本使用的语句:

[php]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. $books = \Yii::$app->db->createCommand("SELECT * FROM  book1 where book_title like '%:keywords%'  order by addtime desc")->bindValue(":keywords",$_GET['keywords'])->queryAll();  


      实际执行的语句为


可以看到经过该函数防sql注入处理之后的 $_GET['keywords'] ,自动为上传的关键字加上了单引号,导致执行的SQL语句无法正常查询出来结果,无法把数据库存在的《算法》 查询出来。 

        经过查询资料,更换了以下的接口函数,可以既实现模糊查询,又可以实现防SQL注入。

[php]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. $db = new \yii\db\Query;         
[php]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. $books$db->from('book1')->where("book_title like :keywords")->addParams([':keywords'=>'%'.$_GET['keywords'].'%'])->orderBy('addtime DESC')->all();  


   

青春已被放纵了
关注
专栏目录
Yii2同时搜索多个字段
wjtlht928的专栏
06-08 1967
Yii2中搜索字段是用的andFilterWhere这个方法,用它可以搜索一个一段。 如果是搜索多个字段的话 ,比如搜索文章标题和文章内容是是否包含需要搜索的关键词,因为他们两个的关系是or,所以就要用到orFilterWhere这个方法 下面就是全部的代码
yii2 模糊查询
nzz_1214
05-06 856
原文地址:https://www.zhangmoxuan.com/article/view_58.html 简单的用法中,where()方法是设置查询条件的,也就是sql语句中的where部分,例如: $query = Article::find()->where(['status'=>10]); //sql: SELECT * FROM `article` WHERE `status`=10 $query = Article::find()->where(['status'=&gt
Yii框架(PHP) + mysql增删改查(模糊查询)
Lili Liang的博客
08-01 2361
步骤: 一、新建数据库 二、连接数据库 三、定义AR类(创建model) 四、控制器(controller) 五、写增删改查(模糊查询)方法 实现功能: 1、展示出全部信息 2、增加信息 3、删除信息 4、修改信息 5、查找信息(通过id) 6、模糊查询 一、新建数据库 库名:db_person 表名:t_person 二、连接数据库 打开工作室的框架目录...
Yii使用 case when 来模糊排序查询
weixin_45472548的博客
03-05 263
$search_arr=['沙发','床','现代轻奢','新中式'];//越排在前面得关键词,优先模糊排序 $where=[]; $order_by=""; $query = Goods::find()->alias('g')->where([ 'g.status' => 1, 'g.is_delete' => 0, 'g.type' => get_plugin_type(),
Yii2增删改查之查询 where参数详细介绍
10-21
但为了提高安全性,建议使用数组形式给出条件,以SQL注入。例如: ```php $userInfo = User::find()->where(['and', ['>', 'id', 1], [', 'id', 3]])->all(); ``` 接着是or条件,它用来连接多个条件,表示满足...
Yii框架where查询用法实例分析
10-16
1. 转义问题:默认情况下,Yii会对特殊字符进行转义,以避免SQL注入攻击。如果要手动控制转义过程,可以使用前面提到的转义操作符。 2. 字符串类型自动加引号:在使用操作符格式时,Yii会自动为字符串值加上引号。 ...
Yii框架数据库查询、增加、删除操作示例
10-16
为了SQL注入,建议使用模型的find()方法构建查询。例如,查询id为1的数据,可以使用以下代码: ```php $data = Test::find()->where(['id' => 1])->all(); ``` Yii提供了丰富的查询条件方法,比如大于(`>`)、...
Yii2.0框架实现带分页的多条件搜索功能示例
10-17
这样的处理避免了SQL注入等安全风险。 7. 视图层的表单构建:示例中展示了如何在视图层使用`ActiveForm`小部件构建表单,用于用户输入搜索条件。表单中的输入字段通过`Html::input`生成,并且通过`ActiveForm::...
yii2.0 mongodb 模糊查询
cominglately的博客
03-08 1342
场景:     模糊查询电话号码分析:    mongodb对与模糊的查询的实现是依赖正则   解决:     yii  $regex 它的值是不含 // 的正则字符串就好$conditions['tel'] = ['$regex' => $conditions['tel']]; // ^$     php 原生$query=array("name"=>new MongoRegex("...
Yii2实现同时搜索多个字段的方法
10-21
主要介绍了Yii2实现同时搜索多个字段的方法,结合实例形式分析了Yii2中同时搜索多个字段所使用的函数与具体使用方法,需要的朋友可以参考下
yii2 模糊搜索,使索引生效
u012114437的博客
09-19 575
WeixinCourse::find() ->where([‘LIKE’, ‘name’, $xxxx.’%’, false])//%这样放,可以使name索引(设置了索引的话)生效 ->andWhere([‘status’=>1]) ->orWhere([‘LIKE’, ‘description’, $xxxxX.’%’, false])//%这样放,可以使descrip...
yii2实现后端分页和模糊查询
wangle_style的博客
07-13 821
注:这里说的是前后端分离的方式,前端可以用vue+element,不管用什么,只要能把需要的参数传给后端就OK 1.前端需要传的主要参数包括: listQuery: { //动态请求table数据时传递的参数 page_no: 1, //页码 page_size: 10,//每页显示条数 role: null,//角色--选填 ...
yii2.0多条件查询
qq_25543685的博客
01-25 896
1.一个字段模糊擦查询 var $username='张三';var $email ='qq@qq.com';var $mobile =18888888888;$result=User::find()->where(['status'=>1,])->andwhere(['or',['like','username',$username],['like','email',$email]
Yii2数据安全查询,sql注入漏洞
xmlife的专栏
12-18 9960
1 $id = Yii::$app->request->get('id','');//get获取参数 1.1 直接把获取的$id代入(有问题) 1 2 3 4 5 $sql     = "SELECT * FROM   tab WHERE id = {$id}"; $db
yii mysql条件查询_Yii框架where查询用法实例分析
weixin_36393674的博客
02-22 551
本文实例讲述了Yii框架where查询用法。分享给大家供大家参考,具体如下:1.简述Yii的查询操作找使用where用的很多 总结下常用的哈希格式与操作符格式2.操作符格式适用于操作符的[操作符, 操作数1, 操作数2, ...][ 'LIKE','nickname','%'.strtr($mix_kw,['%'=>'\%', '_'=>'\_', '\\'=>'\\\\'])....
php同时多个字段进行搜索,Yii2实现同时搜索多个字段的方法
weixin_42146230的博客
03-12 231
本文实例讲述了Yii2实现同时搜索多个字段的方法。分享给大家供大家参考,具体如下:Yii2中搜索字段是用的andFilterWhere这个方法,用它可以搜索一个一段。如果是搜索多个字段的话 ,比如搜索文章标题和文章内容是是否包含需要搜索的关键词,因为他们两个的关系是or,所以就要用到orFilterWhere这个方法下面就是全部的代码?可以看到sql语句如下:复制代码 代码如下:select co...
yii中多字段搜索bug
weixin_34279246的博客
09-13 176
$criteria->addCondition("status=1");$criteria->addInCondition('is_delete=0');$criteria->addSearchCondition('name','分类'); $criteria->addSearchCondition('intro','分类',t...
YII2.0 中止JS脚本注入
reg183的专栏
06-12 2635
$hello中的js代码不会执行,会原样输出 Html::encode($hello); $hello中的js代码不会执行,不会输出 \yii\helpers\HtmlPurifier::process($hello); 来自于datou:https://github.com/datou-leo/ci ...
Yii框架SQL注入与XSS攻击技术笔记
"这篇文章是关于Yii框架SQL注入和跨站脚本(XSS)攻击的笔记,作者有多年的开发经验。主要介绍了如何处理用户输入,止恶意代码执行,并提到了CHtml类的一些实用方法。" 在开发Web应用程序时,安全问题是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值