thinkphp过滤函数

① 求教ThinkPHP 有自带的防止XSS的代码么

你好,据我所知,ThinkPHP并没有自带的防止XSS的代码.不过,在PHP上,要想防止XSS,其实很简单,只需要调用一个函数即可版:htmlspecialchars()
在你的要求输入权字符的位置,调用htmlspecialchars()函数即可.
希望我的回答能够对你有所帮助.

② thinkphp怎么做才是安全的sql防注入

1：抵御99%的攻击方式,适用于90%的场景.

当网站不涉及复杂的用户交互时，可以对用户所有提交的文本进行htmlspecialchars函数处理。

在THINKPHP3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

提问：为什么经过htmlspecialchars处理过的文本可以保证是安全的?
回答：纵观XSS各种攻击方式绝大多数依赖<>'"& 这几个字符中的一个或几个对内容进行注入攻击。而htmlspecialchars函数的作用就是将这些字符转换成无害的HTML 实体;
提问：为什么有这么好的方法，而还有好多网站还是被攻击.
回答：因为好多程序员总会粗心忘记使用这个方法,而遗漏某条数据的过滤。

2:对COOKIE进行IP绑定
cookie里面一般有自动登录信息和session_id,就算对cookie里面的内容全部加了密，cookie的信息一但被别人通过XSS攻击获取后也一样等同于把自己的帐号密码给了别人。
对cookie进行IP绑定，（当然也可以获取用户客户端更多的其它信息进行同时绑定）可以根据用户的IP来判断这个cookie是不是来原始授权用户。

典型的应用示例：
用户设置了自动登录时保存自动登录信息:
$auto=I('post.auto');//用户设置了自动登录
if(!empty($auto)){
cookie('auto',encrypt(serialize($data)));//将登录信息保存到cookie,其中$data里含有加密后的帐号，密码，和用户的IP，这里的cookie已在全局中设置过期日期为一周
}
用户关闭浏览器再次访问网站时，进行自动登录
if (!is_login()) {//是否未登录状态?
$auth=cookie('auto');
if(!empty($auth)){//是否未有自动登录cookie?
$data=unserialize(decrypt($auth));
if(!empty($data) && !empty($data['username']) && !empty($data['password']) && !empty($data['last_login_ip'])){
$user=M('Member')->where(array('username'=>$data['username'],'password'=>$data['password']))->find();
if(!empty($user['id'])&&($user['last_login_ip']==get_client_ip())){//cookie帐号密码是否有效?//IP来源是否相同?
login_session($user['id'], $user['username'], $data['last_login_ip']);//用户自动登录成功
}
}
}
}
复制代码
优点：大多数场景下可使被XSS攻击盗取的cookie失效。缺点：由于IP存在多台电脑共用的可能，对绑定做不到十分精细。

3:为COOKIE添加httponly配置
最新版本的thinkphp已经支持此参数。
此参数可以保证cookie只在http请求中被传输，而不被页面中的脚本获取，现市面上绝大多数浏览器已经支持。
复制代码
4:HTML5值得观注的新特性：
<iframe src="http://alibaba.com" sandbox>
为iframe的增加的sandbox属性，可以防止不信任的Web页面执行某些操作.相信这个方法以后会被广泛使用。
复制代码
5：富文本过滤
富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

③ ThinkPHP中I(),U(),$this->post()等函数用法

本文实例讲述了ThinkPHP中I(),U(),$this->post()等函数的用法。分享给大家供大家参考。具体方法如下：
在ThinkPHP中在控制器中接受表单的数据可以使用如下方法：
1、$_POST[]/$_GET[],但是这个接受的表单内容不会通过htmlspecialchars();函数进行过滤。如果想使用这个接收数据，需要手动处理表单数据
2、可以用接收表单函数复制代码
代码如下:$this->_post();$this->_get();，这个函数默认就会使用htmlspecialchars()进行过滤，不用手动过滤。
3、在thinkphp3.1.3中有一个新的函数I();直接接收表单数据，并默认为htmlspecailchars();过滤这个函数有这些字段
I('需要接收的表单名','如果数据为空默认值','使用的函数处理表单数据');
U();函数是输出地址
U('操作名','array()参数','伪静态后缀名',是否跳转,域名)
希望本文所述对大家的ThinkPHP框架程序设计有所帮助。

④ thinkphp5.0 使用Db类，字段不存在，有字段过滤的方法吗

有的，可以使用strict来过滤非数据表字段。案例如下：

Db::name('user')->strict(true)->insert($data);

只需要在链式调用中使用strict方法并将其参数设置为true即可。

如果开启字段严格检查的话，在更新和写入数据库的时候，一旦存在非数据表字段的值，则会抛出异常。

⑤ php 关于thinkphp的防sql注入跟过滤问题

防止注入
opensns
对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入，要有效的防止SQL注入问题，我们建议：
查询条件尽量使用数组方式，这是更为安全的方式；
如果不得已必须使用字符串查询条件，使用预处理机制（3.1版本新增特性）；
开启数据字段类型验证，可以对数值数据类型做强制转换；（3.1版本开始已经强制进行字段类型验证了）
使用自动验证和自动完成机制进行针对应用的自定义过滤；
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

⑥ thinkphp怎么做才是安全的sql防注入

1. 注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.

   
   

   代码举例：

   //不安全的写法举例1

$_GET['id']=8;//希望得到的是正整数

$data=M('Member')->where('id='.$_GET['id'])->find();

$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;

//安全的替换写法

$data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入

$data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束

$data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换

$data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法

$data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定

$data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制

//不安全的写法举例2

$_GET['id']=8;//希望得到的是正整数

$data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句

$_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;

2.防止注入的总的原则是<<根据具体业务逻辑,对来源于用户的值的范围,类型和正负等进行限制和判断>>,同时<<尽量使用THINKPHP自带的SQL函数和写法>>.

3.在THINKPHP3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

4.为COOKIE添加httponly配置

5.最新版本的thinkphp已经支持此参数。

9.富文本过滤

富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

⑦ thinkphp如何过滤名字重复的记录

example.对字段进行去重回

$index = $select->distinct ( true )->where ( 'parent_id=0' )->field ( 'index' )->select ();

SELECT TOP 3
degree ,
COUNT(1) AS 人数答
FROM
Student
GROUP BY
degree
ORDER BY
degree DESC