⑴ thinkPHP中$this->assign("row",$row);这句话啥意思
$this->assign("arr",$arr)中第一个参数是在模板中使用的变量名,名字可以任意取,第二个参数是传递给模板的变量。举个例子:
1、在Action中赋值了一个myname模板变量:
12$name='ThinkPHP';$this->assign('myname',$name);
表示把Action中$name变量(其值为'ThinkPHP')赋值给模板变量myname,当然也可以是其他名字。
2、在模板文件中使用myname变量:
在模板文件(即对应的html文件)使用{$myname} 即表示 字符串:'ThinkPHP'
⑵ thinkphp里I方法过滤方法都有什么有看到过intval和htmlspecialchars,手册没见过,想知道所有过滤方法
你好,我所知道的:
1 strip_tags:从字符串中去除 HTML 和 PHP 标记
2 mysql_escape_string:转义一个字符串用于 mysql_query
这些函数在防注入方内面起到很大容的作用.
⑶ thinkphp syntax error, unexpected ' 错误位置 FILE: C:\AppServ\www\003business\index.php LINE: 3 这
建议从第3行到第5行注释掉,然后添加exit(),中断下,看看是否还有报错
⑷ 如何取消ThinkPHP的自动转义单引号和双引号
这是你php环境配置的问题。 你在你的 common.php 文件中, 加一段代码。 这样你在不同的环境都不会出这样的情况了。
if (get_magic_quotes_gpc()) {
function stripslashes_deep($value)
{
$value = is_array($value) ?
array_map('stripslashes_deep', $value) :
stripslashes($value);
return $value;
}
$_POST = array_map('stripslashes_deep', $_POST);
$_GET = array_map('stripslashes_deep', $_GET);
$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
}
⑸ PHP引号的使用问题
单引号里面的内容就是字符串本身,双引号中的变量则会动态改变组合成字符串。
⑹ php 关于thinkphp的防sql注入跟过滤问题
防止注入
opensns
对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入,要有效的防止SQL注入问题,我们建议:
查询条件尽量使用数组方式,这是更为安全的方式;
如果不得已必须使用字符串查询条件,使用预处理机制(3.1版本新增特性);
开启数据字段类型验证,可以对数值数据类型做强制转换;(3.1版本开始已经强制进行字段类型验证了)
使用自动验证和自动完成机制进行针对应用的自定义过滤;
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制,例如:
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。
⑺ 富文本编辑器里面单双引号区分么
1,在thinkphp目录下,依次打开 ThinkPHP\Lib\Driver\Db 目录,并在dbmysql.class.php 这个文件中把escapeString 函数的函数修改成:
/**
* SQL指令安全过滤
* @access public
* @param string $str SQL字符串
* @return string
*/
public function escapeString($str) {
//修改 周蛮子 放双引号双重转义
if (!get_magic_quotes_gpc()){
if($this->_linkID) {
return mysql_real_escape_string($str,$this->_linkID);
}else{
return mysql_escape_string($str);
}
} else {
return $str;
}
}
⑻ ThinkPHP中I(),U(),$this->post()等函数用法
本文实例讲述了ThinkPHP中I(),U(),$this->post()等函数的用法。分享给大家供大家参考。具体方法如下:
在ThinkPHP中在控制器中接受表单的数据可以使用如下方法:
1、$_POST[]/$_GET[],但是这个接受的表单内容不会通过htmlspecialchars();函数进行过滤。如果想使用这个接收数据,需要手动处理表单数据
2、可以用接收表单函数复制代码
代码如下:$this->_post();$this->_get();,这个函数默认就会使用htmlspecialchars()进行过滤,不用手动过滤。
3、在thinkphp3.1.3中有一个新的函数I();直接接收表单数据,并默认为htmlspecailchars();过滤这个函数有这些字段
I('需要接收的表单名','如果数据为空默认值','使用的函数处理表单数据');
U();函数是输出地址
U('操作名','array()参数','伪静态后缀名',是否跳转,域名)
希望本文所述对大家的ThinkPHP框架程序设计有所帮助。
⑼ 在thinkphp下,表单提交的文本内容包含单双引号,html标签,该怎么处理,
一般常用的POST提交,先trim()一下,去除头尾空格等,
然后使用addslashes()函数对字符串双引号等特殊字符加\进行转义再存入数据库,
⑽ 各位大侠帮帮忙 关于thinkphp 查询语句搜索字段带引号的问题
$map['off_price']=array(array('gt',intval($aa)),array('lt',intval($cc)));