thinkphp输出过滤

❶ ThinkPHP中I(),U(),$this->post()等函数用法

本文实例讲述了ThinkPHP中I(),U(),$this->post()等函数的用法。分享给大家供大家参考。具体方法如下：
在ThinkPHP中在控制器中接受表单的数据可以使用如下方法：
1、$_POST[]/$_GET[],但是这个接受的表单内容不会通过htmlspecialchars();函数进行过滤。如果想使用这个接收数据，需要手动处理表单数据
2、可以用接收表单函数复制代码
代码如下:$this->_post();$this->_get();，这个函数默认就会使用htmlspecialchars()进行过滤，不用手动过滤。
3、在thinkphp3.1.3中有一个新的函数I();直接接收表单数据，并默认为htmlspecailchars();过滤这个函数有这些字段
I('需要接收的表单名','如果数据为空默认值','使用的函数处理表单数据');
U();函数是输出地址
U('操作名','array()参数','伪静态后缀名',是否跳转,域名)
希望本文所述对大家的ThinkPHP框架程序设计有所帮助。

❷ thinkphp如何过滤名字重复的记录

example.对字段进行去重回

$index = $select->distinct ( true )->where ( 'parent_id=0' )->field ( 'index' )->select ();

SELECT TOP 3
degree ,
COUNT(1) AS 人数答
FROM
Student
GROUP BY
degree
ORDER BY
degree DESC

❸ 使用thinkphp时，表单提交的html内容，全被" \ " 反斜杠过滤了。怎么在前台读取到html实际内容呢去掉 \

因为默认的使用的htmlspecialchars()进行处理的。你可以使用
htmlspecialchars_decode()转成字符

❹ 一个简单的问题，thinkphp怎么用其他类的方法。

ThinkPHP的I方法是众多单字母函数中的新成员，其命名来自于英文Input（输入），主要用于更加方便和安全的获取系统输入变量，可以用于任何地方，用法格式如下：
I('变量类型.变量名',['默认值'],['过滤方法'])
变量类型是指请求方式或者输入类型。

各个变量类型的含义如下：

注意：变量类型不区分大小写。
变量名则严格区分大小写。
默认值和过滤方法均属于可选参数。

❺ ThinkPHP如何防止SQL注入

（1）查询条件尽量使用数组方式，这是更为安全的方式；
（2）如果不得已必须使用字符串查询条件，使用预处理机制；
（3）使用绑定参数；指拆盯
（4）强制进行字段类型验证，可以对数值数据类型做强制转换；
（5）使御闹用自动验证和自动完成机制进行针对应用的自唯和定义过滤；
（6）使用字段类型检查、自动验证和自动完成机制等避免恶意数据的输入；
（7）做一些过滤。

❻ thinkPHP3.2中intval过滤超过9位的数字问题

字符串函数回:md5,strip_tags...等答 filter_list: int boolean float validate_regexp validate_url validate_email validate_ip string stripped encoded special_chars unsafe_raw email url number_int number_float magic_quotes callback

❼ thinkphp3.2 数据库添加内容怎样用field过滤

在thinkphp中,$User->...->select()/add()/save()这个连贯操作里的'...'部分是不分顺序的.
你换个写法: $User->field('name')->save($data);或者$User->field('name')->add($data)
这个才是手册里提到的字段过滤

❽ php 关于thinkphp的防sql注入跟过滤问题

防止注入
opensns
对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入，要有效的防止SQL注入问题，我们建议：
查询条件尽量使用数组方式，这是更为安全的方式；
如果不得已必须使用字符串查询条件，使用预处理机制（3.1版本新增特性）；
开启数据字段类型验证，可以对数值数据类型做强制转换；（3.1版本开始已经强制进行字段类型验证了）
使用自动验证和自动完成机制进行针对应用的自定义过滤；
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。