表單提交 防註入XSS 1入庫時轉義、後臺 2出庫轉義、前臺
阿新 • • 發佈:2017-05-11
his 驗證 替換字符 插入 如果 不同的 js代碼 urn ida
第一種 入庫過濾js
自動填充時過濾js代碼
class GoodsModel extends Model
{
// 填充
protected $_auto = [
// 自己補充填充規則
// 描述中 處理掉script部分
[‘description‘, ‘mkDescription‘, self::MODEL_BOTH, ‘callback‘],
// 僅僅需要在插入維護
[‘created_at‘, ‘time‘, self::MODEL_INSERT, ‘function‘],
// 更新時間, 插入和更新時 都需要更新
[‘updated_at‘, ‘time‘, self::MODEL_BOTH, ‘function‘],
];
protected function mkDescription($value)
{
// 匹配 script標記的內容, *?非貪婪, /is, 忽略大小寫+單行模式(萬能點)
$pattern = ‘/<script.*?>.*?<\/script>/is‘;
$result = preg_replace_callback($pattern, function($match) {
// $match, 查找的匹配字符串
// 計算新的替換字符串, 進行替換
return htmlspecialchars($match[0]);
}, $value);
return $result;
}
}
第二種入庫時轉義,控制器中轉義
- I(‘post.name‘,‘‘,‘htmlspecialchars‘); // 采用htmlspecialchars方法對$_POST[‘name‘] 進行過濾,如果不存在則返回空字符串
- ‘DEFAULT_FILTER‘ => ‘htmlspecialchars‘
- I(‘get.name‘); // 等同於 htmlspecialchars($_GET[‘name‘])
- ‘DEFAULT_FILTER‘ => ‘strip_tags,htmlspecialchars‘
- I(‘get.name‘); // 等同於 htmlspecialchars(strip_tags($_GET[‘name‘]))
- echo I(‘get.name‘,‘‘,‘strip_tags‘); // 等同於 strip_tags($_GET[‘name‘])
- I(‘post.email‘,‘‘,FILTER_VALIDATE_EMAIL);
(關於更多的驗證格式,可以參考 官方手冊的filter_var用法。)
或者可以用下面的字符標識方式:- I(‘post.email‘,‘‘,‘email‘);
- int
- boolean
- float
- validate_regexp
- validate_url
- validate_email
- validate_ip
- string
- stripped
- encoded
- special_chars
- unsafe_raw
- url
- number_int
- number_float
- magic_quotes
- callback
- I(‘get.name‘,‘‘,NULL);
I()函數編碼;然後文章內容解碼decode後再入庫,這樣
$article=I("post.post");
$article[‘post_content‘]=htmlspecialchars_decode($article[‘post_content‘]);
$result=$this->posts_model->save($article);
3前臺轉義,視圖中顯示數據時轉義
<volist name="rows" id="row">
<tr>
<td class="text-center">
<input type="checkbox" name="selected[]" value="{$row[‘goods_id‘]}" />
</td>
<td class="text-left">{$row[‘name‘]|htmlspecialchars}</td>
<td class="text-left">{$row[‘image_thumb‘]}</td>
表單提交 防註入XSS 1入庫時轉義、後臺 2出庫轉義、前臺