表单提交 防注入XSS 1入库时转义、后台 2出库转义、前台

标签：时间   ext   raw   image   控制器   转义   参数   函数名   规则   

第一种 入库过滤js

自动填充时过滤js代码
class GoodsModel extends Model
{
    // 填充
    protected $_auto = [
        // 自己补充填充规则
        // 描述中 处理掉script部分
        [‘description‘, ‘mkDescription‘, self::MODEL_BOTH, ‘callback‘],

        // 仅仅需要在插入维护
        [‘created_at‘, ‘time‘, self::MODEL_INSERT, ‘function‘],
        // 更新时间, 插入和更新时 都需要更新
        [‘updated_at‘, ‘time‘, self::MODEL_BOTH, ‘function‘],
    ];
    protected  function mkDescription($value)
    {
        // 匹配 script标记的内容, *?非贪婪, /is, 忽略大小写+单行模式(万能点)
        $pattern = ‘/<script.*?>.*?<\/script>/is‘;
        $result = preg_replace_callback($pattern, function($match) {
            // $match, 查找的匹配字符串
            // 计算新的替换字符串, 进行替换
            return htmlspecialchars($match[0]);
        }, $value);
        return $result;
    }
}

第二种入库时转义,控制器中转义

1. I(‘post.name‘,‘‘,‘htmlspecialchars‘); // 采用htmlspecialchars方法对$_POST[‘name‘] 进行过滤，如果不存在则返回空字符串
2. 1. ‘DEFAULT_FILTER‘        => ‘htmlspecialchars‘
   也就说，I方法的所有获取变量都会进行htmlspecialchars过滤，那么：
   1. I(‘get.name‘); // 等同于 htmlspecialchars($_GET[‘name‘])
   同样，该参数也可以支持多个过滤，例如：
   1. ‘DEFAULT_FILTER‘        => ‘strip_tags,htmlspecialchars‘
   1. I(‘get.name‘); // 等同于 htmlspecialchars(strip_tags($_GET[‘name‘]))
   如果我们在使用I方法的时候 指定了过滤方法，那么就会忽略DEFAULT_FILTER的设置，例如：
   1. echo I(‘get.name‘,‘‘,‘strip_tags‘); // 等同于 strip_tags($_GET[‘name‘])
   I方法的第三个参数如果传入函数名，则表示调用该函数对变量进行过滤并返回（在变量是数组的情况下自动使用array_map进行过滤处理），否则会调用PHP内置的filter_var方法进行过滤处理，例如：
   1. I(‘post.email‘,‘‘,FILTER_VALIDATE_EMAIL);
   表示 会对$_POST[‘email‘] 进行 格式验证，如果不符合要求的话，返回空字符串。
   （关于更多的验证格式，可以参考 官方手册的filter_var用法。）
   或者可以用下面的字符标识方式：
   1. I(‘post.email‘,‘‘,‘email‘);
   可以支持的过滤名称必须是filter_list方法中的有效值（不同的服务器环境可能有所不同），可能支持的包括：
   1. int
   2. boolean
   3. float
   4. validate_regexp
   5. validate_url
   6. validate_email
   7. validate_ip
   8. string
   9. stripped
   10. encoded
   11. special_chars
   12. unsafe_raw
   13. email
   14. url
   15. number_int
   16. number_float
   17. magic_quotes
   18. callback
   在有些特殊的情况下，我们不希望进行任何过滤，即使DEFAULT_FILTER已经有所设置，可以使用：
   1. I(‘get.name‘,‘‘,NULL);
   一旦过滤参数设置为NULL，即表示不再进行任何的过滤。

I()函数编码;然后文章内容解码decode后再入库,这样
$article=I("post.post");
$article[‘post_content‘]=htmlspecialchars_decode($article[‘post_content‘]);
$result=$this->posts_model->save($article);


3前台转义,视图中显示数据时转义

<volist name="rows" id="row">
<tr>
    <td class="text-center">
        <input type="checkbox" name="selected[]" value="{$row[‘goods_id‘]}" />
    </td>

                                        <td class="text-left">{$row[‘name‘]|htmlspecialchars}</td>
                                        <td class="text-left">{$row[‘image_thumb‘]}</td>

表单提交 防注入XSS 1入库时转义、后台 2出库转义、前台

标签：时间   ext   raw   image   控制器   转义   参数   函数名   规则   

原文地址：http://www.cnblogs.com/jackduan/p/6841954.html