YII2 防止SQL注入

于 2020-09-26 15:45:30 发布
阅读量658 收藏
点赞数
分类专栏: YII 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37540298/article/details/108812109
版权

1.原生查询

 $sql="select * from goods where goods_id=1";
 $data=Goods::findBySql($sql)->all();

SQL注入

 $sql = "select * from article where id=".$id;
 //若前台接受的$id,是字符串
 $id = '1 or 1=1'; 
 //此时的sql,将把数据库中的数据全查出来
 $sql = "select * from article where id=1 or 1=1";
 //也可删除整个表格,若
 $id = '1 ; drop table article;'; 
 $sql = "select * from article where id=1 ; drop table article;";

通过占位符的方式,防止SQL注入

//sql查询语句 
$id = '1 or 1=1'; 
$sql = "select * from article where id=:id”; 
$r = Article::findBySql($sql,[':id'=>$id])->all();

转载,使用占位符预防SQL注入的原理:
https://my.oschina.net/u/860267/blog/761167

好一朵儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii框架防止sql注入,xss攻击与csrf攻击的方法
01-20
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip...
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8048
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
for dianming system
bonlog的专栏
10-20 697
-- phpMyAdmin SQL Dump -- version 3.5.2.2 -- http://www.phpmyadmin.net -- -- Host: 127.0.0.1 -- Generation Time: Oct 20, 2014 at 11:05 AM -- Server version: 5.5.27 -- PHP Version: 5.4.7 SET SQL_MODE=
Yii2数据安全查询,防止sql注入漏洞
xmlife的专栏
12-18 9930
1 $id = Yii::$app->request->get('id','');//get获取参数 1.1 直接把获取的$id代入(有问题) 1 2 3 4 5 $sql     = "SELECT * FROM   tab WHERE id = {$id}"; $db
YII2框架学习 安全篇(四) sql注入攻击和防范
混血王子的博客
06-21 3192
先看百度百科的介绍,SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即S
yii2.0--模型防止SQL注入
张默的博客
06-05 452
get获取方式防止SQL注入(localhost/index.php?r=home/index&id=1;drop%20table%20user;--) namespace app\controller; use app\models\User; public function actionIndex() { $request = \Yii::$app->request...
yii2-master.rar
05-28
9. **安全特性**:Yii2提供了一系列的安全措施,包括防止SQL注入、XSS攻击、CSRF保护等,保障了应用的安全性。 10. **社区支持**:Yii拥有活跃的开发者社区,提供了丰富的扩展库和详尽的文档,方便开发者解决问题和...
PHP Yii2框架开发
07-12
5. **安全防护**:提供了防止SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等安全机制,保障应用安全。 6. **自动化测试**:支持PHPUnit进行单元测试和集成测试,帮助开发者确保代码质量。 7. **命令行工具...
php yii2框架初始项目 源码
03-21
6. **安全**:内置了防止SQL注入、XSS攻击和CSRF攻击的安全机制。 7. **国际化与本地化(I18N & L10N)**:支持多语言和区域设置。 8. **单元测试与持续集成**:支持PHPUnit,便于编写和运行单元测试,确保代码质量...
Yii防注入攻击笔记
09-09
Yii防注入攻击笔记,本人开发多年作的笔记
yii2模糊查询并且防SQL注入
panjican的博客
07-25 5913
博主前天在修改之前的网站代码时,因为之前写代码完全没有考虑过网站安全,所以对最基本的防SQL注入没有任何预防,所以需要对网站代码很多地方都要进行修改。而yii2框架对防SQL注入提供了接口,所以修改起来并不困难。但是当修改到使用了模糊查询的搜索功能时,出现了错误。
yii防sql注入
zhangzhangdan的博客
07-24 1081
sql注入就是通过sql语句拼接的一种攻击方式,通常都是以这样的形式出现 那么yii框架中是怎么防护的呢 附加: 防sql一般也用到过这个函数:addslashes来转义接收字符...
yii2过滤xss代码,防止sql注入教程
luyaran的博客
12-05 2086
实际开发中,涉及到的语言也好,框架也罢,web安全问题总是不可避免要考虑在内的,潜意识中的考虑。 意思就是说喃,有一条河,河很深,在没办法游过去的情况下你只能沿着河上唯一的一座桥走过去。 好啦,我们看看在yii框架的不同版本中是怎么处理xss攻击,sql注入等问题的。 啥啥啥,xss是啥,sql注入又是啥?哦我的天呐,不好意思,我也不知道,这个您问问小度小哥都行,随您。 通俗的说喃,就是两
yii防止sql注入
hgq_csdn的博客
10-08 3296
*sql注入举例 原sql语句为$sql='select * from mytable where id='.$id; (1)注入方式一:          select * from mytable where id=1 or 1=1;          因为1=1恒成立,将整张表全部打印 (2)注入方式二:          select * from mytable where
yii2 数据查询(防sql注入
zhangzhangdan的博客
07-12 1624
1、查询2.删除3.添加(修改)
yii2过滤xss代码,防止sql注入
weixin_34419321的博客
03-09 411
两个原则问题:1、表单提交内容,想安全的存入数据库2、想安全的对数据进行输出 <?= \yii\helpers\Html::encode($title) //纯文本 ?><?= \yii\helpers\HtmlPurifier::process($content) //html显示的文本 ?> 转载于:https://blog.51cto.com/13238147/2...
Yii2框架安装与Composer使用指南
在安全方面,Yii2提供了防止SQL注入、跨站脚本攻击(XSS)的机制,以及CSRF保护、输入验证等安全特性,确保了应用的安全性。同时,它还支持用户认证和授权,方便实现用户登录、权限控制等功能。 Yii2中文手册详细阐述...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值