thinkphpi函数过滤

Ⅰ thinkphp的i方法的post和post.这个带不带点,有什么不同啊

传统方式获取变量
$id = $_GET['id']; // 获取get变量
$name = $_POST['name']; // 获取post变量
$value = $_SESSION['var']; // 获取session变量
$name = $_COOKIE['name']; // 获取cookie变量
$file = $_SERVER['PHP_SELF']; // 获取server变量
Get示例：
http://localhost/news/archive/2012/01/15

$year = $_GET["_URL_"][2];
I方法
I (‘变量类型.变量名/修饰符’,[‘默认值’],[‘过滤方法’],[‘额外数据源’])
get 获取GET参数
post 获取POST参数
param 自动判断请求类型获取GET、POST或者PUT参数
request 获取REQUEST 参数
put 获取PUT 参数
session 获取 $_SESSION 参数
cookie 获取 $_COOKIE 参数
server 获取 $_SERVER 参数
globals 获取 $GLOBALS参数
path 获取 PATHINFO模式的URL参数（3.2.2新增）
data 获取 其他类型的参数，需要配合额外数据源参数（3.2.2新增）
使用示例：
echo I('post.id'); // 相当于 $_POST['id']
echo I('get.name'); // 相当于 $_GET['name']
echo I('param.id'); // get或post，param.可以省略
echo I('path.1'); // 获取重写的url变量
I('get.id/d'); // 强制转换成整数，有以下几种可选择：
参数 含义
s 强制转换为字符串类型
d 强制转换为整形类型
b 强制转换为布尔类型
a 强制转换为数组类型
f 强制转换为浮点类型
I('data.file1','','',$_FILES); //读取文件
I('get.'); // 获取整个$_GET 数组
I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤，如果不存在则返回空字符串。这是默认过滤，可以省略
I('session.user_id',0); // 获取$_SESSION['user_id'] 如果不存在则默认为0
I('cookie.'); // 获取整个 $_COOKIE 数组
I('server.REQUEST_METHOD'); // 获取 $_SERVER['REQUEST_METHOD']

Ⅱ ThinkPHP中I(),U(),$this->post()等函数用法

本文实例讲述了ThinkPHP中I(),U(),$this->post()等函数的用法。分享给大家供大家参考。具体方法如下：
在ThinkPHP中在控制器中接受表单的数据可以使用如下方法：
1、$_POST[]/$_GET[],但是这个接受的表单内容不会通过htmlspecialchars();函数进行过滤。如果想使用这个接收数据，需要手动处理表单数据
2、可以用接收表单函数复制代码
代码如下:$this->_post();$this->_get();，这个函数默认就会使用htmlspecialchars()进行过滤，不用手动过滤。
3、在thinkphp3.1.3中有一个新的函数I();直接接收表单数据，并默认为htmlspecailchars();过滤这个函数有这些字段
I('需要接收的表单名','如果数据为空默认值','使用的函数处理表单数据');
U();函数是输出地址
U('操作名','array()参数','伪静态后缀名',是否跳转,域名)
希望本文所述对大家的ThinkPHP框架程序设计有所帮助。

Ⅲ thinkphp3.1有没有i方法

有
ThinkPHP函数详解：I方法

I('变量类型.变量名',['默认值'],['过滤方法'])
变量类型是指请求方式或者输入类型，包括：
变量类型 含义
get 获取GET参数
post 获取POST参数
param 自动判断请求类型获取GET、POST或者PUT参数
request 获取REQUEST 参数
put 获取PUT 参数
session 获取 $_SESSION 参数
cookie 获取 $_COOKIE 参数
server 获取 $_SERVER 参数
globals 获取 $GLOBALS参数
注意：变量类型不区分大小写。
变量名则严格区分大小写。
默认值和过滤方法均属于可选参数。
用法
我们以GET变量类型为例，说明下I方法的使用：
echo I('get.id'); // 相当于 $_GET['id']
echo I('get.name'); // 相当于 $_GET['name']
支持默认值：
echo I('get.id',0); // 如果不存在$_GET['id'] 则返回0
echo I('get.name',''); // 如果不存在$_GET['name'] 则返回空字符串
采用方法过滤：
echo I('get.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_GET['name'] 进行过滤，如果不存在则返回空字符串
支持直接获取整个变量类型，例如：
I('get.'); // 获取整个$_GET 数组
用同样的方式，我们可以获取post或者其他输入类型的变量，例如：
I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤，如果不存在则返回空字符串
I('session.user_id',0); // 获取$_SESSION['user_id'] 如果不存在则默认为0
I('cookie.'); // 获取整个 $_COOKIE 数组
I('server.REQUEST_METHOD'); // 获取 $_SERVER['REQUEST_METHOD']
param变量类型是框架特有的支持自动判断当前请求类型的变量获取方式，例如：
echo I('param.id');
如果当前请求类型是GET，那么等效于 $_GET['id']，如果当前请求类型是POST或者PUT，那么相当于获取 $_POST['id'] 或者 PUT参数id。
并且param类型变量还可以用数字索引的方式获取URL参数（必须是PATHINFO模式参数有效，无论是GET还是POST方式都有效），例如：
当前访问URL地址是
http://serverName/index.php/New/2016/06/01
那么我们可以通过
echo I('param.1'); // 输出2016
echo I('param.2'); // 输出06
echo I('param.3'); // 输出01
事实上，param变量类型的写法可以简化为：
I('id'); // 等同于 I('param.id')
I('name'); // 等同于 I('param.name')
变量过滤
使用I方法的时候 变量其实经过了两道过滤，首先是全局的过滤，全局过滤是通过配置VAR_FILTERS参数，这里一定要注意，3.1版本之后，VAR_FILTERS参数的过滤机制已经更改为采用array_walk_recursive方法递归过滤了，主要对过滤方法的要求是必须引用返回，所以这里设置htmlspecialchars是无效的，你可以自定义一个方法，例如：
function filter_default(&$value){
$value = htmlspecialchars($value);
}
然后配置：
'VAR_FILTERS'=>'filter_default'
如果需要进行多次过滤，可以用：
'VAR_FILTERS'=>'filter_default,filter_exp'
filter_exp方法是框架内置的安全过滤方法，用于防止利用模型的EXP功能进行注入攻击。
因为VAR_FILTERS参数设置的是全局过滤机制，而且采用的是递归过滤，对效率有所影响，所以，我们更建议直接对获取变量过滤的方式，除了在I方法的第三个参数设置过滤方法外，还可以采用配置DEFAULT_FILTER参数的方式设置过滤，事实上，该参数的默认设置是：
'DEFAULT_FILTER' => 'htmlspecialchars'
也就说，I方法的所有获取变量都会进行htmlspecialchars过滤，那么：
I('get.name'); // 等同于 htmlspecialchars($_GET['name'])
同样，该参数也可以支持多个过滤，例如：
'DEFAULT_FILTER' => 'strip_tags,htmlspecialchars'
I('get.name'); // 等同于 htmlspecialchars(strip_tags($_GET['name']))
如果我们在使用I方法的时候 指定了过滤方法，那么就会忽略DEFAULT_FILTER的设置，例如：
echo I('get.name','','strip_tags'); // 等同于 strip_tags($_GET['name'])
I方法的第三个参数如果传入函数名，则表示调用该函数对变量进行过滤并返回（在变量是数组的情况下自动使用array_map进行过滤处理），否则会调用PHP内置的filter_var方法进行过滤处理，例如：
I('post.email','',FILTER_VALIDATE_EMAIL);
表示 会对$_POST['email'] 进行 格式验证，如果不符合要求的话，返回空字符串。
（关于更多的验证格式，可以参考 官方手册的filter_var用法。）
或者可以用下面的字符标识方式：
I('post.email','','email');
可以支持的过滤名称必须是filter_list方法中的有效值（不同的服务器环境可能有所不同），可能支持的包括：
int
boolean
float
validate_regexp
validate_url
validate_email
validate_ip
string
stripped
encoded
special_chars
unsafe_raw
email
url
number_int
number_float
magic_quotes
callback
在有些特殊的情况下，我们不希望进行任何过滤，即使DEFAULT_FILTER已经有所设置，可以使用：
I('get.name','',NULL);
一旦过滤参数设置为NULL，即表示不再进行任何的过滤。

Ⅳ thinkphp I函数 怎么过滤提交的富文本编辑HTML

你的办法完全可行，底层里面实际上就是把过滤函数作为一个函数而执行的，参数就是你的数据，所以你自建的函数完全可以运行，但是要放到公共函数库中。例如：放到Application/Common/Common/function.php中

Ⅳ thinkPHP3.2中intval过滤超过9位的数字问题

字符串函数回:md5,strip_tags...等答 filter_list: int boolean float validate_regexp validate_url validate_email validate_ip string stripped encoded special_chars unsafe_raw email url number_int number_float magic_quotes callback

Ⅵ 一个简单的问题，thinkphp怎么用其他类的方法。

ThinkPHP的I方法是众多单字母函数中的新成员，其命名来自于英文Input（输入），主要用于更加方便和安全的获取系统输入变量，可以用于任何地方，用法格式如下：
I('变量类型.变量名',['默认值'],['过滤方法'])
变量类型是指请求方式或者输入类型。

各个变量类型的含义如下：

注意：变量类型不区分大小写。
变量名则严格区分大小写。
默认值和过滤方法均属于可选参数。

Ⅶ 大家知道thinkphp用什么锬I吗

I方法是ThinkPHP众多单字母函数中的新成员，其命名来自于英文Input（输入），主要用于更加方便和安全的获取系统输入变量
echo I('get.id'); // 相当于 $_GET['id']
I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤，如果不存在则返回空字符串

Ⅷ thinkphp里I方法过滤方法都有什么有看到过intval和htmlspecialchars，手册没见过，想知道所有过滤方法

你好,我所知道的:
1 strip_tags:从字符串中去除 HTML 和 PHP 标记

2 mysql_escape_string:转义一个字符串用于 mysql_query

这些函数在防注入方内面起到很大容的作用.

Ⅸ thinkphp怎么做才是安全的sql防注入

1. 注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.

   
   

   代码举例：

   //不安全的写法举例1

$_GET['id']=8;//希望得到的是正整数

$data=M('Member')->where('id='.$_GET['id'])->find();

$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;

//安全的替换写法

$data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入

$data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束

$data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换

$data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法

$data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定

$data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制

//不安全的写法举例2

$_GET['id']=8;//希望得到的是正整数

$data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句

$_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;

2.防止注入的总的原则是<<根据具体业务逻辑,对来源于用户的值的范围,类型和正负等进行限制和判断>>,同时<<尽量使用THINKPHP自带的SQL函数和写法>>.

3.在THINKPHP3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

4.为COOKIE添加httponly配置

5.最新版本的thinkphp已经支持此参数。

9.富文本过滤

富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

Ⅹ thinkphp中这句话是什么意思I ( 'cTime', 0, 'intval' )

I是TP自己封装的一个参数接收过滤的方法,具体使用看源码就能明白

你发的意思是接收 cTime 参数, 参数过滤方法是intval, 如果不符合cTime值将变为0

希望可以帮到你