zoukankan      html  css  js  c++  java
  • 表单提交 防注入XSS 1入库时转义、后台 2出库转义、前台

    第一种 入库过滤js

    自动填充时过滤js代码
    class GoodsModel extends Model
    {
    // 填充
    protected $_auto = [
    // 自己补充填充规则
    // 描述中 处理掉script部分
    ['description', 'mkDescription', self::MODEL_BOTH, 'callback'],

    // 仅仅需要在插入维护
    ['created_at', 'time', self::MODEL_INSERT, 'function'],
    // 更新时间, 插入和更新时 都需要更新
    ['updated_at', 'time', self::MODEL_BOTH, 'function'],
    ];
    protected function mkDescription($value)
    {
    // 匹配 script标记的内容, *?非贪婪, /is, 忽略大小写+单行模式(万能点)
    $pattern = '/<script.*?>.*?</script>/is';
    $result = preg_replace_callback($pattern, function($match) {
    // $match, 查找的匹配字符串
    // 计算新的替换字符串, 进行替换
    return htmlspecialchars($match[0]);
    }, $value);
    return $result;
    }
    }
    第二种入库时转义,控制器中转义
    1. I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤,如果不存在则返回空字符串
      1. 'DEFAULT_FILTER'        => 'htmlspecialchars'
      也就说,I方法的所有获取变量都会进行htmlspecialchars过滤,那么:
      1. I('get.name'); // 等同于 htmlspecialchars($_GET['name'])
      同样,该参数也可以支持多个过滤,例如:
      1. 'DEFAULT_FILTER'        => 'strip_tags,htmlspecialchars'
      1. I('get.name'); // 等同于 htmlspecialchars(strip_tags($_GET['name']))
      如果我们在使用I方法的时候 指定了过滤方法,那么就会忽略DEFAULT_FILTER的设置,例如:
      1. echo I('get.name','','strip_tags'); // 等同于 strip_tags($_GET['name'])
      I方法的第三个参数如果传入函数名,则表示调用该函数对变量进行过滤并返回(在变量是数组的情况下自动使用array_map进行过滤处理),否则会调用PHP内置的filter_var方法进行过滤处理,例如:
      1. I('post.email','',FILTER_VALIDATE_EMAIL);
      表示 会对$_POST['email'] 进行 格式验证,如果不符合要求的话,返回空字符串。
      (关于更多的验证格式,可以参考 官方手册的filter_var用法。)
      或者可以用下面的字符标识方式:
      1. I('post.email','','email');
      可以支持的过滤名称必须是filter_list方法中的有效值(不同的服务器环境可能有所不同),可能支持的包括:
      1. int
      2. boolean
      3. float
      4. validate_regexp
      5. validate_url
      6. validate_email
      7. validate_ip
      8. string
      9. stripped
      10. encoded
      11. special_chars
      12. unsafe_raw
      13. email
      14. url
      15. number_int
      16. number_float
      17. magic_quotes
      18. callback
      在有些特殊的情况下,我们不希望进行任何过滤,即使DEFAULT_FILTER已经有所设置,可以使用:
      1. I('get.name','',NULL);
      一旦过滤参数设置为NULL,即表示不再进行任何的过滤。
    I()函数编码;然后文章内容解码decode后再入库,这样
    $article=I("post.post");
    $article['post_content']=htmlspecialchars_decode($article['post_content']);
    $result=$this->posts_model->save($article);


    3前台转义,视图中显示数据时转义
    <volist name="rows" id="row">
    <tr>
    <td class="text-center">
    <input type="checkbox" name="selected[]" value="{$row['goods_id']}" />
    </td>

    <td class="text-left">{$row['name']|htmlspecialchars}</td>
    <td class="text-left">{$row['image_thumb']}</td>
  • 相关阅读:
    IO复用(较详细)
    关于CGI 和 PHP-FPM需要弄清的
    php内核一些常识
    python搭建web服务
    瓶颈分析
    分布式系统
    vmdk多文件合成单文件并导入
    用户登录自动调用修改网络信息脚本
    strace命令用法
    使用Nginx反向代理Docker的Asp.Net Core项目的请求
  • 原文地址:https://www.cnblogs.com/jackduan/p/6841954.html
Copyright © 2011-2022 走看看