久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

ThinkPHP開(kāi)發(fā)指南-安全-防止SQL注入

來(lái)自站長(zhǎng)百科
跳轉(zhuǎn)至: 導(dǎo)航、? 搜索

導(dǎo)航:返回上一頁(yè)

對(duì)于WEB應(yīng)用來(lái)說(shuō),SQL注入攻擊無(wú)疑是首要防范的安全問(wèn)題,系統(tǒng)底層對(duì)于數(shù)據(jù)安全方面本身進(jìn)行了很多的處理和相應(yīng)的防范機(jī)制,

例如PHP代碼 

$User = M("User"); // 實(shí)例化User對(duì)象    

$User->find($_GET["id"]);

即便用戶輸入了一些惡意的id參數(shù),系統(tǒng)也會(huì)自動(dòng)加上引號(hào)避免惡意注入。事實(shí)上,ThinkPHP對(duì)所有的數(shù)據(jù)庫(kù)CURD的數(shù)據(jù)都會(huì)進(jìn)行escape_string處理。通常的安全隱患在于你的查詢條件使用了字符串參數(shù),然后其中一些變量又依賴由客戶端的用戶輸入,要有效的防止SQL注入問(wèn)題,我們建議:

  • 查詢條件盡量使用數(shù)組方式,這是更為安全的方式;
  • 開(kāi)啟數(shù)據(jù)字段類型驗(yàn)證,可以對(duì)數(shù)值數(shù)據(jù)類型做強(qiáng)制轉(zhuǎn)換;
  • 使用自動(dòng)驗(yàn)證和自動(dòng)完成機(jī)制進(jìn)行針對(duì)應(yīng)用的自定義過(guò)濾;

字段類型檢查、自動(dòng)驗(yàn)證和自動(dòng)完成機(jī)制我們?cè)谀P筒糠忠呀?jīng)有詳細(xì)的描述,