資訊專欄INFORMATION COLUMN
摘要:好啦,我們看看在框架的不同版本中是怎么處理攻擊,注入等問題的。那要是,又是怎樣處理的喃考慮目前國內網站大部分采集文章十分頻繁,更有甚者不注明原文出處,原作者更希望看客們查看原文,以防有任何問題不能更新所有文章,避免誤導繼續閱讀
作者:白狼 出處:http://www.manks.top/yii2_filter_xss_code_or_safe_to_database.html 本文版權歸作者,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接,否則保留追究法律責任的權利。
實際開發中,涉及到的語言也好,框架也罷,web安全問題總是不可避免要考慮在內的,潛意識中的考慮。
意思就是說喃,有一條河,河很深,在沒辦法游過去的情況下你只能沿著河上唯一的一座橋走過去。
好啦,我們看看在yii框架的不同版本中是怎么處理xss攻擊,sql注入等問題的。
啥啥啥,xss是啥,sql注入又是啥?哦我的天吶,不好意思,我也不知道,這個您問問小度小哥都行,隨您。
通俗的說喃,就是兩個原則問題:
表單提交內容,想安全的存入數據庫
想安全的對數據進行輸出
有同學疑問來了,我的數據都安全的存到數據庫了,都已經是安全的了,咋輸出還要過濾呢?博主si是si犯渾,有毛病勒。
不著急,我們先來看看yii中是怎么處理我們所說的安全問題。
無論是yii還是yii2版本,數據查詢,數據入庫,我們都可以很好的用AR操作進行,這樣就灰常簡單的避免了sql注入問題,為啥就so easy的避免了呢,這是因為在AR的底層,其實對PDO進行的封裝,所以喃,媽媽再也不用擔心注入的問題了
有同學在嘀咕了,我們查詢的sql很復雜的,用yii的AR操作不了,不寫sql不行,你看著辦吧。嚇唬小孩呢,還有操作不了的,頭一次見!
當然啦,在不涉及接收參數的情況下,要不要用原生sql您隨意,但是涉及外參的情況下,您要是想用sql查詢請盡量用占位去操作,不是不相信您自己個的"過濾",其實也是不敢相信,如果您堅持自己個寫原生sql,您隨意好吧
下面我們來看看問題2,數據安全的輸出,這個在yii和yii2中還是有一丁點差別滴。
yii中,純文本輸出呢,很簡單,我們對要輸出的內容CHtml::encode()即可,別嚷嚷,我知道你想說啥,對于想輸出html文本,可以采用如下方式:
$purifier = new CHtmlPurifier; echo $purifier->purify($content);
放心,代碼里面的js啥的統統會以文本的形式輸出顯示,那這里的xss問題我們也就可以放心了。
那要是yii2,又是怎樣處理的喃?
[考慮目前國內網站大部分采集文章十分頻繁,更有甚者不注明原文出處,原作者更希望看客們查看原文,以防有任何問題不能更新所有文章,避免誤導!]
繼續閱讀
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/21604.html
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
閱讀 998·2021-11-24 10:30
閱讀 2322·2021-10-08 10:04
閱讀 3962·2021-09-30 09:47
閱讀 1445·2021-09-29 09:45
閱讀 1440·2021-09-24 10:33
閱讀 6255·2021-09-22 15:57
閱讀 2355·2021-09-22 15:50
閱讀 4085·2021-08-30 09:45
