导航:首页 > 净水问答 > 字符型注入过滤

字符型注入过滤

发布时间:2024-01-12 11:32:45

A. 什么是SQL注入

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

B. php 关于thinkphp的防sql注入跟过滤问题

防止注入
opensns
对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入,要有效的防止SQL注入问题,我们建议:
查询条件尽量使用数组方式,这是更为安全的方式;
如果不得已必须使用字符串查询条件,使用预处理机制(3.1版本新增特性);
开启数据字段类型验证,可以对数值数据类型做强制转换;(3.1版本开始已经强制进行字段类型验证了)
使用自动验证和自动完成机制进行针对应用的自定义过滤;
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

阅读全文

与字符型注入过滤相关的资料

热点内容
城市污水厂人员配备标准 浏览:247
纯净水桶打开不能使用怎么回事 浏览:78
发泡CPP树脂是用在哪 浏览:189
废水收集负压 浏览:169
阴离子交换层析原理 浏览:971
矶竿导环用哪种环氧树脂胶 浏览:776
浴缸净化器怎么用 浏览:832
久置净水器怎么使用 浏览:98
净水机废水量过大 浏览:505
污水直接排放对身体有什么危害 浏览:923
安徽蒸馏炼油设备厂家 浏览:620
葡萄糖在污水处理中的作用 浏览:212
水壶去厚水垢的方法 浏览:982
家用桶装纯净水怎么加热 浏览:672
即热式饮水机缺点是什么 浏览:623
树脂扣染色的染料是进口的吗 浏览:678
环氧树脂少放点固化剂可以硬化吗 浏览:360
什么的净水程度最高 浏览:280
医疗废物及污水处理试卷 浏览:637
六安瓜片用什么纯净水 浏览:472