表单提交 防注入XSS 1入库时转义后台 2出库转义前台
Posted jackduan1
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了表单提交 防注入XSS 1入库时转义后台 2出库转义前台相关的知识,希望对你有一定的参考价值。
第一种 入库过滤js
自动填充时过滤js代码
class GoodsModel extends Model
{
// 填充
protected $_auto = [
// 自己补充填充规则
// 描述中 处理掉script部分
[‘description‘, ‘mkDescription‘, self::MODEL_BOTH, ‘callback‘],
// 仅仅需要在插入维护
[‘created_at‘, ‘time‘, self::MODEL_INSERT, ‘function‘],
// 更新时间, 插入和更新时 都需要更新
[‘updated_at‘, ‘time‘, self::MODEL_BOTH, ‘function‘],
];
protected function mkDescription($value)
{
// 匹配 script标记的内容, *?非贪婪, /is, 忽略大小写+单行模式(万能点)
$pattern = ‘/<script.*?>.*?<\/script>/is‘;
$result = preg_replace_callback($pattern, function($match) {
// $match, 查找的匹配字符串
// 计算新的替换字符串, 进行替换
return htmlspecialchars($match[0]);
}, $value);
return $result;
}
}
第二种入库时转义,控制器中转义
- I(‘post.name‘,‘‘,‘htmlspecialchars‘); // 采用htmlspecialchars方法对$_POST[‘name‘] 进行过滤,如果不存在则返回空字符串
- ‘DEFAULT_FILTER‘ => ‘htmlspecialchars‘
- I(‘get.name‘); // 等同于 htmlspecialchars($_GET[‘name‘])
- ‘DEFAULT_FILTER‘ => ‘strip_tags,htmlspecialchars‘
- I(‘get.name‘); // 等同于 htmlspecialchars(strip_tags($_GET[‘name‘]))
- echo I(‘get.name‘,‘‘,‘strip_tags‘); // 等同于 strip_tags($_GET[‘name‘])
- I(‘post.email‘,‘‘,FILTER_VALIDATE_EMAIL);
(关于更多的验证格式,可以参考 官方手册的filter_var用法。)
或者可以用下面的字符标识方式:- I(‘post.email‘,‘‘,‘email‘);
- int
- boolean
- float
- validate_regexp
- validate_url
- validate_email
- validate_ip
- string
- stripped
- encoded
- special_chars
- unsafe_raw
- url
- number_int
- number_float
- magic_quotes
- callback
- I(‘get.name‘,‘‘,NULL);
I()函数编码;然后文章内容解码decode后再入库,这样
$article=I("post.post");
$article[‘post_content‘]=htmlspecialchars_decode($article[‘post_content‘]);
$result=$this->posts_model->save($article);
3前台转义,视图中显示数据时转义
<volist name="rows" id="row">
<tr>
<td class="text-center">
<input type="checkbox" name="selected[]" value="{$row[‘goods_id‘]}" />
</td>
<td class="text-left">{$row[‘name‘]|htmlspecialchars}</td>
<td class="text-left">{$row[‘image_thumb‘]}</td>
以上是关于表单提交 防注入XSS 1入库时转义后台 2出库转义前台的主要内容,如果未能解决你的问题,请参考以下文章