thinkphp怎么做才是安全的sql防注入

Posted 2023-05-08

1：抵御99%的攻击方式,适用于90%的场景.

当网站不涉及复杂的用户交互时，可以对用户所有提交的文本进行htmlspecialchars函数处理。

在THINKphp3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： \'DEFAULT_FILTER\' => \'htmlspecialchars\', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M(\'Member\')->save(array(\'content\'=>I(\'post.content\')));这样添加的content内容是经过htmlspecialchars处理过的.

提问：为什么经过htmlspecialchars处理过的文本可以保证是安全的?
回答：纵观XSS各种攻击方式绝大多数依赖<>\'"& 这几个字符中的一个或几个对内容进行注入攻击。而htmlspecialchars函数的作用就是将这些字符转换成无害的HTML 实体;
提问：为什么有这么好的方法，而还有好多网站还是被攻击.
回答：因为好多程序员总会粗心忘记使用这个方法,而遗漏某条数据的过滤。

2:对COOKIE进行IP绑定
cookie里面一般有自动登录信息和session_id,就算对cookie里面的内容全部加了密，cookie的信息一但被别人通过XSS攻击获取后也一样等同于把自己的帐号密码给了别人。
对cookie进行IP绑定，（当然也可以获取用户客户端更多的其它信息进行同时绑定）可以根据用户的IP来判断这个cookie是不是来原始授权用户。

典型的应用示例：
用户设置了自动登录时保存自动登录信息:
$auto=I(\'post.auto\');//用户设置了自动登录
if(!empty($auto))
cookie(\'auto\',encrypt(serialize($data)));//将登录信息保存到cookie,其中$data里含有加密后的帐号，密码，和用户的IP，这里的cookie已在全局中设置过期日期为一周

用户关闭浏览器再次访问网站时，进行自动登录
if (!is_login()) //是否未登录状态?
$auth=cookie(\'auto\');
if(!empty($auth))//是否未有自动登录cookie?
$data=unserialize(decrypt($auth));
if(!empty($data) && !empty($data[\'username\']) && !empty($data[\'password\']) && !empty($data[\'last_login_ip\']))
$user=M(\'Member\')->where(array(\'username\'=>$data[\'username\'],\'password\'=>$data[\'password\']))->find();
if(!empty($user[\'id\'])&&($user[\'last_login_ip\']==get_client_ip()))//cookie帐号密码是否有效?//IP来源是否相同?
login_session($user[\'id\'], $user[\'username\'], $data[\'last_login_ip\']);//用户自动登录成功




复制代码
优点：大多数场景下可使被XSS攻击盗取的cookie失效。缺点：由于IP存在多台电脑共用的可能，对绑定做不到十分精细。

3:为COOKIE添加httponly配置
最新版本的thinkphp已经支持此参数。
此参数可以保证cookie只在http请求中被传输，而不被页面中的脚本获取，现市面上绝大多数浏览器已经支持。
复制代码
4:HTML5值得观注的新特性：
<iframe src="http://alibaba.com" sandbox>
为iframe的增加的sandbox属性，可以防止不信任的Web页面执行某些操作.相信这个方法以后会被广泛使用。
复制代码
5：富文本过滤
富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰. 参考技术A post进来的，get进来的东西都强制转化
数字的强制转数字
文字的强制去掉空格

（2020上半年第13天（SQL注入-防注入绕过(SQL注入8/10)））小迪网络安全笔记

链接①
链接②