表单提交 防注入XSS 1入库时转义、后台 2出库转义、前台

时间:2021-10-26 13:59:42
第一种 入库过滤js

自动填充时过滤js代码
class GoodsModel extends Model
{
// 填充
protected $_auto = [
// 自己补充填充规则
// 描述中 处理掉script部分
['description', 'mkDescription', self::MODEL_BOTH, 'callback'],

// 仅仅需要在插入维护
['created_at', 'time', self::MODEL_INSERT, 'function'],
// 更新时间, 插入和更新时 都需要更新
['updated_at', 'time', self::MODEL_BOTH, 'function'],
];
protected function mkDescription($value)
{
// 匹配 script标记的内容, *?非贪婪, /is, 忽略大小写+单行模式(万能点)
$pattern = '/<script.*?>.*?<\/script>/is';
$result = preg_replace_callback($pattern, function($match) {
// $match, 查找的匹配字符串
// 计算新的替换字符串, 进行替换
return htmlspecialchars($match[0]);
}, $value);
return $result;
}
}
第二种入库时转义,控制器中转义
  1. I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤,如果不存在则返回空字符串
    1. 'DEFAULT_FILTER'        => 'htmlspecialchars'
    也就说,I方法的所有获取变量都会进行htmlspecialchars过滤,那么:
    1. I('get.name'); // 等同于 htmlspecialchars($_GET['name'])
    同样,该参数也可以支持多个过滤,例如:
    1. 'DEFAULT_FILTER'        => 'strip_tags,htmlspecialchars'
    1. I('get.name'); // 等同于 htmlspecialchars(strip_tags($_GET['name']))
    如果我们在使用I方法的时候 指定了过滤方法,那么就会忽略DEFAULT_FILTER的设置,例如:
    1. echo I('get.name','','strip_tags'); // 等同于 strip_tags($_GET['name'])
    I方法的第三个参数如果传入函数名,则表示调用该函数对变量进行过滤并返回(在变量是数组的情况下自动使用array_map进行过滤处理),否则会调用PHP内置的filter_var方法进行过滤处理,例如:
    1. I('post.email','',FILTER_VALIDATE_EMAIL);
    表示 会对$_POST['email'] 进行 格式验证,如果不符合要求的话,返回空字符串。
    (关于更多的验证格式,可以参考 官方手册的filter_var用法。)
    或者可以用下面的字符标识方式:
    1. I('post.email','','email');
    可以支持的过滤名称必须是filter_list方法中的有效值(不同的服务器环境可能有所不同),可能支持的包括:
    1. int
    2. boolean
    3. float
    4. validate_regexp
    5. validate_url
    6. validate_email
    7. validate_ip
    8. string
    9. stripped
    10. encoded
    11. special_chars
    12. unsafe_raw
    13. email
    14. url
    15. number_int
    16. number_float
    17. magic_quotes
    18. callback
    在有些特殊的情况下,我们不希望进行任何过滤,即使DEFAULT_FILTER已经有所设置,可以使用:
    1. I('get.name','',NULL);
    一旦过滤参数设置为NULL,即表示不再进行任何的过滤。
I()函数编码;然后文章内容解码decode后再入库,这样
$article=I("post.post");
$article['post_content']=htmlspecialchars_decode($article['post_content']);
$result=$this->posts_model->save($article);


3前台转义,视图中显示数据时转义
<volist name="rows" id="row">
<tr>
<td class="text-center">
<input type="checkbox" name="selected[]" value="{$row['goods_id']}" />
</td>

<td class="text-left">{$row['name']|htmlspecialchars}</td>
<td class="text-left">{$row['image_thumb']}</td>