TP5框架《防sql注入、防xss攻击》

r囧r小猫 2022-04-23 02:30 477阅读 0赞

### 如题：tp5怎么防sql注入 xss跨站脚本攻击呢？ ###

其实很简单，TP框架中有自带的，在 **application/config.php** 中有个配置选项：

> 框架默认没有设置任何过滤规则，你可以是配置文件中设置全局的过滤规则：
> 
>     // 默认全局过滤方法 用逗号分隔多个
>     'default_filter' => 'htmlspecialchars,addslashes,strip_tags',

**htmlspecialchars：**防XSS攻击，尖括号等转义过滤

**addslashes：**防SQL注入，在每个双引号（"）前添加反斜杠

**strip\_tags：**剥去字符串中的 HTML 标签

把这些参数加上后，每次请求后端的接口中，框架就会对请求的变量进行自动过滤了。

**也可以在获取变量的时候添加过滤方法，例如：**

> `Request::instance()->get('name','','htmlspecialchars'); // 获取get变量 并用htmlspecialchars函数过滤Request::instance()->param('username','','strip_tags'); // 获取param变量 并用strip_tags函数过滤Request::instance()->post('name','','org\Filter::safeHtml'); // 获取post变量 并用org\Filter类的safeHtml方法过滤`

**可以支持传入多个过滤规则，例如：**

> `Request::instance()->param('username','','strip_tags,strtolower'); // 获取param变量 并依次调用strip_tags、strtolower函数过滤`

** 如果当前不需要进行任何过滤的话，可以使用（`V5.0.3+`版本） ***ps: 这个方法测试了下，好像没有起作用，你们也可以试下*

>  `Request::instance()->get('name','',false); // 获取get变量 并且不进行任何过滤 即使设置了全局过滤`

**如果有用到富文本编辑器或其他类似的提交html标签的变量，可以使用：**

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是：

*  & （和号）成为 &
 *  " （双引号）成为 "
 *  ' （单引号）成为 '
 *  < （小于）成为 <
 *  > （大于）成为 >

htmlspecialchars\_decode() 函数把预定义的 HTML 实体转换为字符。

会被解码的 HTML 实体是：

*  & 解码成 & （和号）
 *  " 解码成 " （双引号）
 *  ' 解码成 ' （单引号）
 *  < 解码成 < （小于）
 *  > 解码成 > （大于）

htmlspecialchars\_decode() 函数是 htmlspecialchars() 函数的反函数。

发表评论取消回复

表情：

评论列表（有 0 条评论，477人围观）

还没有评论，来说两句吧...

相关阅读

相关 PHP 防注入和 XSS 攻击通用过滤

在开发 Web 应用程序时，安全性是一个至关重要的考虑因素。在 PHP 中，防止注入和跨站脚本攻击（XSS）是常见的安全挑战。本文将介绍一些通用的过滤技术，以防止这些攻击，并提

拼搏现实的明天。/ 2024年02月26日 01:11/ 0 赞/ 19 阅读

相关防注入攻击

1、可以注入攻击的登录 package pers.jdbc.log; import java.sql.Connection; import

向右看齐/ 2023年08月17日 16:09/ 0 赞/ 169 阅读

相关用过滤器防sql注入

使用过滤器是解决sql注入的一种方式，其它可以前端校验处理等过滤器写法： package XXX.utils; import javax.ser

川长思鸟来/ 2022年12月30日 08:03/ 0 赞/ 166 阅读

相关 Spring boot 过滤器实现防XSS攻击

文章目录背景参考资料上代码过滤器配置可配置不过滤地址主要过滤器代码 xss具体过滤规则

我会带着你远行/ 2022年10月23日 02:57/ 0 赞/ 37 阅读

相关 mybatis SQL防注入

使用\\{xxx\}来设置，这样可以利用mybatisf防sql注入 public String selectUsers(SysUser sysUser){

怼烎@/ 2022年09月15日 11:58/ 0 赞/ 225 阅读

相关数据库安全防SQL注入

什么是SQL注入（SQL Injection）所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的

叁歲伎倆/ 2022年07月18日 00:06/ 0 赞/ 283 阅读

相关 TP5框架《防sql注入、防xss攻击》

如题：tp5怎么防sql注入 xss跨站脚本攻击呢？其实很简单，TP框架中有自带的，在 application/config.php 中有个配置选项： > 框架默认没

r囧r小猫/ 2022年04月23日 02:30/ 0 赞/ 478 阅读

相关 TP5防sql注入、防xss攻击

框架默认没有设置任何过滤规则可以配置文件中设置全局的过滤规则 `config.php` 配置选项 `default_filter` 添加以下代码即可 //

朱雀/ 2022年01月16日 13:53/ 0 赞/ 495 阅读

相关 PHP防XSS攻击和SQL注入

function SafeFilter (&$arr){ $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/

╰半夏微凉°/ 2021年11月09日 10:36/ 0 赞/ 438 阅读

相关前后端防XSS、SQL、CORS

后端： 1、filter拦截(过滤器) <filter> <filter-name>traceIdFilter</filter-name>

灰太狼/ 2021年11月05日 19:02/ 0 赞/ 300 阅读