TP5之安全机制
2024-09-05 22:03:28
防止sql注入
1、查询条件尽量使用数组方式,具体如下:
$wheres = array(); $wheres['account'] = $account; $wheres['password'] = $password; $User->where($wheres)->find();
2、如果必须使用字符串,建议使用预处理机制,具体如下:
$User = D('UserInfo');
$User->where('account="%s" andpassword="%s"',array($account,$password))->find();
3、可以使用PDO方式(绑定参数),因为这里未使用PDO,所以不罗列,感兴趣的可自行查找相关资料。
表单合法性检测
1、配置insertFields和updateFields属性
class UserInfoModelextends Model {
// 数据表名字
protected $tureTableName ='user';
// 配置插入和修改的字段匹配设置(针对表单)
protected $insertFields =array('name','sex','age');
protected $updateFields =array('nickname','mobile');
}
上面的定义之后,当我们使用了create方法创建数据对象后,再使用add方法插入数据时,只会插入上面配置的几个字段的值(更新类同),具体如下:
// 用户注册(示意性接口:插入)
public function register() {
// ...
// 使用Model的create函数更安全
$User= D('UserInfo');
$User->create();
$ID= $User->add();
if($ID) {
$result= $User->where('id=%d',array($ID))->find();
echo json_encode($result);
}
// ...
}
2、使用field方法直接处理
// 插入
M('User')->field('name,sex,age')->create();
// 更新
M('User')->field('nickname,mobile’)->create();
over!over!over!
最新文章
- __thread关键字[转]
- sql 查询表的所有详细信息
- 解释一下SQLSERVER事务日志记录
- RequestMethod.DELETE相关,如何用jquery实现RequestMethod.DELETE请求
- 2. hdfs
- JavaWeb笔记——注册登录系统项目思路
- React 点击删除列表中对应项(React 获取DOM中自定义属性)
- HTTP缓存缓存机制
- 【转】使用PowerDesigner的建模创建升级管理数据库
- 判断ios或者android
- 从网络上获取图片,并写入excel文件
- 访问https 报错ssl 协议异常
- mysql 开发进阶篇系列 13 锁问题(关于表锁,死锁示例,锁等待设置)
- cygwin 安装包管理器 apt-cyg
- PHP三种访问控制模式(public、protected、private)解析
- SSH防止超时的设置
- angular enter事件,angular回车事件
- python学习笔记5--加密模块hashlib
- Windows环境下ELK(5.X)平台的搭建
- filter IE滤镜(Internet Explorer)CSS