欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

TP5框架安全机制实例分析

程序员文章站 2022-03-08 14:13:33
本文实例讲述了tp5框架安全机制。分享给大家供大家参考,具体如下:防止sql注入1、查询条件尽量使用数组方式,具体如下:$wheres = array(); $wheres['account'] =...

本文实例讲述了tp5框架安全机制。分享给大家供大家参考,具体如下:

防止sql注入

1、查询条件尽量使用数组方式,具体如下:

$wheres = array();
 
$wheres['account'] = $account;
 
$wheres['password'] = $password;
 
$user->where($wheres)->find();

2、如果必须使用字符串,建议使用预处理机制,具体如下:

$user = d('userinfo');
 
$user->where('account="%s" andpassword="%s"',array($account,$password))->find();

3、可以使用pdo方式(绑定参数),因为这里未使用pdo,所以不罗列,感兴趣的可自行查找相关资料。

表单合法性检测

1、配置insertfields和updatefields属性

class userinfomodelextends model {
 
   // 数据表名字
 
   protected $turetablename ='user';
 
   // 配置插入和修改的字段匹配设置(针对表单)
 
   protected $insertfields =array('name','sex','age');
 
   protected $updatefields =array('nickname','mobile');
 
}

上面的定义之后,当我们使用了create方法创建数据对象后,再使用add方法插入数据时,只会插入上面配置的几个字段的值(更新类同),具体如下:

// 用户注册(示意性接口:插入)
 
   public function register() {
 
     // ...
 
     // 使用model的create函数更安全
 
     $user= d('userinfo');
 
     $user->create();
 
     $id= $user->add();
 
     if($id) {
 
        $result= $user->where('id=%d',array($id))->find();
 
        echo json_encode($result);
 
     }
 
     // ...
 
   }

2、使用field方法直接处理

// 插入
 
m('user')->field('name,sex,age')->create();
 
// 更新
 
m('user')->field('nickname,mobile')->create();