yii防止sql注入

最新推荐文章于 2018-07-24 15:07:14 发布
最新推荐文章于 2018-07-24 15:07:14 发布
阅读量1k 收藏
点赞数
分类专栏: yii sql 文章标签: yii
yii 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
sql
3 篇文章 0 订阅
订阅专栏

yii防止sql注入
假如创建了一个Article模型
先看下面这个例子:

    public function actionIndex()
    {
        $request = \Yii::$app->request;
        $id = $request->get('id');
        $sql = "select * from article where id=".$id;
        $r = Article::findBySql($sql)->all();   
        print_r($r);
    }

上面的例子存在什么风险呢?
id是通过页面url获取的,可能会被用户恶意篡改,比如id改为id=1 or 1=1 即拼接为:

$sql = "select * from article where id=1 or 1=1";

1=1是恒成立的,所以sql语句实际效果是:

$sql = "select * from article";

这样会把所有文章都搜索出来,假如搜出的是网站所有会员的信息,那是不安全的!

用户还可以恶意删除数据库的信息:
比如把id改为:1;drop table article 即拼接为:

$sql = "select * from article where id=1;drop table article";

这样就会把article表给删除掉。是不是很不安全呢!
那么如何防范这种风险呢?
其实也很简单,就是先把sql语句做占位符处理,然后把参数传到sql语句中。

$sql = "select * from article where id=:id";  //冒号后的id可以自定义,一般就与前面的字段名一样
$r = Article::findBySql($sql,[':id'=>$id])->all();  //第二个参数为占位符替换
成长中de大神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
yii2.0--模型防止SQL注入
张默的博客
06-05 455
get获取方式防止SQL注入(localhost/index.php?r=home/index&id=1;drop%20table%20user;--) namespace app\controller; use app\models\User; public function actionIndex() { $request = \Yii::$app->request...
Yii框架防止sql注入,xss攻击与csrf攻击的方法
01-20
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip...
YII 防止自定义sql注入
jzj_xhj的专栏
12-07 3307
YII 防止自定义sql注入
yii2模糊查询并且防SQL注入
青春已被放纵了 的博客
12-15 2870
yii2模糊查询并且防SQL注入
for dianming system
bonlog的专栏
10-20 698
-- phpMyAdmin SQL Dump -- version 3.5.2.2 -- http://www.phpmyadmin.net -- -- Host: 127.0.0.1 -- Generation Time: Oct 20, 2014 at 11:05 AM -- Server version: 5.5.27 -- PHP Version: 5.4.7 SET SQL_MODE=
Yii2数据安全查询,防止sql注入漏洞
xmlife的专栏
12-18 9933
1 $id = Yii::$app->request->get('id','');//get获取参数 1.1 直接把获取的$id代入(有问题) 1 2 3 4 5 $sql     = "SELECT * FROM   tab WHERE id = {$id}"; $db
yiisql注入
zhangzhangdan的博客
07-24 1082
sql注入就是通过sql语句拼接的一种攻击方式,通常都是以这样的形式出现 那么yii框架中是怎么防护的呢 附加: 防sql一般也用到过这个函数:addslashes来转义接收字符...
Yii注入攻击笔记
09-09
在IT安全领域,防止SQL注入和跨站脚本(XSS)攻击是任何Web应用开发中的关键环节。对于使用Yii框架的开发者而言,掌握有效的防御措施尤为必要。本文将深入解析Yii框架中防范SQL注入和XSS攻击的机制与实践技巧,基于...
php登录中的防止sql注入方法分析_.docx
10-09
如文档中提到,现代PHP框架如Laravel、Symfony和Yii等,通常会内置防止SQL注入的安全措施。使用这些工具可以简化开发过程,同时提高安全性。 8. **输入验证**: 对用户输入进行验证,确保其符合预期的格式。例如...
Yii Framework 程序开发框架
08-18
另外,它提供了丰富的安全特性,如输入验证、访问控制、防止SQL注入和跨站脚本攻击等,保障了应用的安全性。 在部署方面,Yii支持多种部署策略,包括URL管理、多环境配置和性能调优。同时,它也集成了常见的第三方...
yii2 数据查询(防sql注入
zhangzhangdan的博客
07-12 1624
1、查询2.删除3.添加(修改)
yii中的占位符方法
做个好的手艺人
06-07 453
yii提供了以下几个占位符方法,要注册灵活运用。   CActiveRecord 提供了几个占位符方法,它们可以在子类中被覆盖以自定义其工作流。 beforeValidate 和 beforeSave 和 afterSave: 这两个将在保存 AR 实例之前和之后被调用。 beforeDelete 和 afterDelete: 这两个将在一个 AR 实例被删除之前和...
yii过滤xss代码
weixin_34166472的博客
02-19 135
为什么80%的码农都做不了架构师?>>> ...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
phpstudy sql注入
10-18
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:预处理语句可以将SQL语句和参数分开处理,从而避免了SQL注入攻击。在PHP中,我们可以使用PDO或mysqli扩展来实现预处理语句。 2. 过滤输入数据:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值