摘要:好啦����,我們看看在框架的不同版本中是怎么處理攻擊,注入等問題的���。那要是�����,又是怎樣處理的喃考慮目前國內(nèi)網(wǎng)站大部分采集文章十分頻繁�,更有甚者不注明原文出處,原作者更希望看客們查看原文�,以防有任何問題不能更新所有文章,避免誤導(dǎo)繼續(xù)閱讀
作者:白狼 出處:http://www.manks.top/yii2_filter_xss_code_or_safe_to_database.html 本文版權(quán)歸作者�,歡迎轉(zhuǎn)載,但未經(jīng)作者同意必須保留此段聲明�,且在文章頁面明顯位置給出原文連接,否則保留追究法律責(zé)任的權(quán)利���。
實(shí)際開發(fā)中�,涉及到的語言也好����,框架也罷,web安全問題總是不可避免要考慮在內(nèi)的����,潛意識中的考慮。
意思就是說喃����,有一條河���,河很深�����,在沒辦法游過去的情況下你只能沿著河上唯一的一座橋走過去���。
好啦���,我們看看在yii框架的不同版本中是怎么處理xss攻擊,sql注入等問題的��。
啥啥啥�,xss是啥,sql注入又是啥�?哦我的天吶,不好意思����,我也不知道,這個(gè)您問問小度小哥都行��,隨您����。
通俗的說喃��,就是兩個(gè)原則問題:
表單提交內(nèi)容����,想安全的存入數(shù)據(jù)庫
想安全的對數(shù)據(jù)進(jìn)行輸出
有同學(xué)疑問來了����,我的數(shù)據(jù)都安全的存到數(shù)據(jù)庫了,都已經(jīng)是安全的了���,咋輸出還要過濾呢�����?博主si是si犯渾�,有毛病勒��。
不著急��,我們先來看看yii中是怎么處理我們所說的安全問題�����。
無論是yii還是yii2版本,數(shù)據(jù)查詢���,數(shù)據(jù)入庫��,我們都可以很好的用AR操作進(jìn)行,這樣就灰常簡單的避免了sql注入問題�,為啥就so easy的避免了呢,這是因?yàn)樵贏R的底層�����,其實(shí)對PDO進(jìn)行的封裝�,所以喃,媽媽再也不用擔(dān)心注入的問題了
有同學(xué)在嘀咕了����,我們查詢的sql很復(fù)雜的,用yii的AR操作不了���,不寫sql不行��,你看著辦吧�。嚇唬小孩呢,還有操作不了的�����,頭一次見�����!
當(dāng)然啦�����,在不涉及接收參數(shù)的情況下�,要不要用原生sql您隨意,但是涉及外參的情況下����,您要是想用sql查詢請盡量用占位去操作,不是不相信您自己個(gè)的"過濾"���,其實(shí)也是不敢相信����,如果您堅(jiān)持自己個(gè)寫原生sql����,您隨意好吧
下面我們來看看問題2����,數(shù)據(jù)安全的輸出����,這個(gè)在yii和yii2中還是有一丁點(diǎn)差別滴。
yii中�����,純文本輸出呢����,很簡單�,我們對要輸出的內(nèi)容CHtml::encode()即可,別嚷嚷�,我知道你想說啥,對于想輸出html文本,可以采用如下方式:
$purifier = new CHtmlPurifier;
echo $purifier->purify($content);
放心�����,代碼里面的js啥的統(tǒng)統(tǒng)會以文本的形式輸出顯示�����,那這里的xss問題我們也就可以放心了。
那要是yii2��,又是怎樣處理的喃����?
[考慮目前國內(nèi)網(wǎng)站大部分采集文章十分頻繁,更有甚者不注明原文出處�,原作者更希望看客們查看原文,以防有任何問題不能更新所有文章�,避免誤導(dǎo)!]
繼續(xù)閱讀
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/21604.html
