thinkphp安全过滤器

❶ thinkphp怎么做才是安全的sql防注入

1. 注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.

   
   

   代码举例：

   //不安全的写法举例1

$_GET['id']=8;//希望得到的是正整数

$data=M('Member')->where('id='.$_GET['id'])->find();

$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;

//安全的替换写法

$data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入

$data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束

$data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换

$data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法

$data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定

$data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制

//不安全的写法举例2

$_GET['id']=8;//希望得到的是正整数

$data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句

$_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;

2.防止注入的总的原则是<<根据具体业务逻辑,对来源于用户的值的范围,类型和正负等进行限制和判断>>,同时<<尽量使用THINKPHP自带的SQL函数和写法>>.

3.在THINKPHP3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

4.为COOKIE添加httponly配置

5.最新版本的thinkphp已经支持此参数。

9.富文本过滤

富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

❷ ThinkPHP控制器参数绑定中，参数已用I函数过滤了吗

默认带的参数就是复需要验证制的表单名称，所以你上面的写法应该是没问题的 但是需要注意的是：checkidcard($sfzh)函数的返回值应改为true或者false，分别表示验证通过或失败 function checkidcard($sfzh){ if(!preg_match('// 验证正则 ..', $sfzh).

❸ thinkphp如何过滤名字重复的记录

example.对字段进行去重回

$index = $select->distinct ( true )->where ( 'parent_id=0' )->field ( 'index' )->select ();

SELECT TOP 3
degree ,
COUNT(1) AS 人数答
FROM
Student
GROUP BY
degree
ORDER BY
degree DESC

❹ php 关于thinkphp的防sql注入跟过滤问题

防止注入
opensns
对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入，要有效的防止SQL注入问题，我们建议：
查询条件尽量使用数组方式，这是更为安全的方式；
如果不得已必须使用字符串查询条件，使用预处理机制（3.1版本新增特性）；
开启数据字段类型验证，可以对数值数据类型做强制转换；（3.1版本开始已经强制进行字段类型验证了）
使用自动验证和自动完成机制进行针对应用的自定义过滤；
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

❺ Thinkphp 过滤HTML标签

经过截获http的请求数据发现转义是发生在thinkphp接收html文本之前由浏览器或在线编辑版器自动权转义的。
对于使用create方法时可以在Model文件夹中定义模型类,在模型类中定义(content是你提交的字段):
protected $_auto = array(
array('content', 'htmlspecialchars_decode', self::MODEL_BOTH, 'function'),
);
然后用D("模型名")->create();
如果是用I函数接收的可以改为$content = I('content', '', 'htmlspecialchars_decode');

❻ thinkphp为什么过滤style标签

xss过滤主要是复应对传值的时候制，防止恶意攻击者往Web页面里插入恶意html代码。
这种编辑器入库的根本不需要用xss过滤啊，可以用mysql_escape_string过滤一下入库，然后展示的时候用htmlspecialchars原型输出就可以了。

❼ 经过相应php过滤器过滤后的数据是不是足够安全 可以直接存入数据库啊

还要过滤一下SQL注入。判断一下E-mail的长度，不能超过数据库字段设定的长度..

❽ 官方求助，thinkphp如何防注入

where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，版例如：权
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
// 或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
//或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

❾ 求救，thinkphp开发时注意哪些安全性问题

where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方版式传入预处理参权数，例如：
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
// 或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
//或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

❿ php表单安全过滤究竟要怎么做

首先在客户端通过JS进行初步数据过来是有效的手段，但是请注意，一切在客户内端进行的验容证都是非安全的，都是可以绕过的

然后是在代码层进行数据过滤，例如php有些函数可以用来进行一些简单的过滤操作:
strip_tags 可以去掉文本内容中的所有html标签
htmlspecialchars 可以对文本内容中的html标签进行转义
addslashes 可以对内容中的特殊符号进行转义

这些函数可以进行初步过滤，然后具体的内容就需要自己编写相应的规则了，例如清除js代码或者其他的敏感词汇，需要自己编写对应的正则进行替换

最后则是在执行sql时进行一些安全操作，如pdo的预处理等