防SQL注入和XSS攻击通用过滤

  1. 首先在 /app/library/ 目录下创建 Security.php 文件并添加以下代码:
<?php

/**

 *

 * 防SQL注入和XSS攻击通用过滤

 */

class Security

{

    public static function filter(&$params)

    {

        if (!is_array($params)) {

            return;

        }

        $patterns = ['/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/i', '/javascript/i', '/script/i', '/vbscript/i', '/expression/i', '/applet/i', '/meta/i', '/xml/i', '/blink/i', '/link/i', '/style/i', '/embed/i', '/object/i', '/frame/i', '/layer/i', '/title/i', '/bgsound/i', '/base/i', '/onload/i', '/onunload/i', '/onchange/i', '/onsubmit/i', '/onreset/i', '/onselect/i', '/onblur/i', '/onfocus/i', '/onabort/i', '/onkeydown/i', '/onkeypress/i', '/onkeyup/i', '/onclick/i', '/ondblclick/i', '/onmousedown/i', '/onmousemove/i', '/onmouseout/i', '/onmouseover/i', '/onmouseup/i', '/onunload/i'];

        foreach ($params as $key => $value) {

            if (!is_array($value)) {

                // 不对 magic_quotes_gpc 转义过的字符使用 addslashes(),避免双重转义。

                if (!get_magic_quotes_gpc()) {

                    $value = addslashes($value); // 给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)加上反斜线转义

                }

                $value = preg_replace($patterns, '', $value); // 删除非打印字符,粗暴式过滤xss可疑字符串

                $params[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 标记并转换为 HTML 实体

            } else {

                self::filter($params[$key]);

            }

        }

    }

}

此函数主要实现:

  1. 使用函数addslashes() 给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)加上反斜线转义, 防止SQL注入。
  2. 删除非打印字符,粗暴式过滤xss可疑字符串。由于此 Demo 项目,无需要用户输入脚本数据,所以,直接将一些非法的脚本字符串,直删除。
  3. 去除 HTML 和 PHP 标记并转换为 HTML 实体

  1. 在 BaseController 中,定义私有两个变量$_get_params 和 $_post_params, 用于存储过滤后。并添加初始化请求参数函数 initializeParams()
    /**

     * 初始化请求参数 (防注入和XSS攻击通用过滤)

     */

    private function initializeParams()

    {

        $this->_get_params = $this->request->getQuery();

        Security::filter($this->_get_params);

        if ($this->request->isPost()) {

            $this->_post_params = $this->request->getPost();

            Security::filter($this->_post_params);

        }

    }

将过滤后的请求参数分别存入$_get_params 和 $_post_params

  1. 在 BaseController 中,initialize() 中调用 initializeParams()
        // 初始化请求参数 (防注入和XSS攻击通用过滤)

        $this->initializeParams();
  1. 再在 BaseController 中,添加两个读取 GET 和 POST 参数的函数。
    /**

     * 获取GET请求参数(已过滤)

     * @param null $key 未指定参数名称,将以数组形式返回GET所有请求参数

     * @return array|mixed|null

     */

    public function get($key = null)

    {

        if ($key) {

            return isset($this->_get_params[$key]) ? $this->_get_params[$key] : null;

        }

        return $this->_get_params;

    }

    /**

     * 获取请POST求参数(已过滤)

     * @param null $key 未指定参数名称,将以数组形式返回所有POST请求参数

     * @return array|mixed|null

     */

    public function getPost($key = null)

    {

        if ($key) {

            return isset($this->_post_params[$key]) ? $this->_post_params[$key] : null;

        }

        return $this->_post_params;

    }

所有继承 BaseController 的控制器中,都可以使用 $this->get() 和 $this->getPost() 来读取安全的请求参数。

防止伪造会话

由于使用 Token 进行身份认证涉及到数据库部分,将在稍后的会员系统开发中讲解。

防止恶意访问

由于 transaction_id 涉及到缓存且防重复访问接口需求不是很大,所以暂时不讲解怎么实现。

示例代码下载

链接:https://pan.baidu.com/s/1d1mOFk 密码:uypl

作者:一念觀心
链接:https://www.jianshu.com/p/778ba15c786e
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

「PHP开发APP接口实战009」日常安全防范之防SQL入和XSS攻击的更多相关文章

  1. 《PHP开发APP接口》笔记

    PHP开发APP接口 [TOC] 课程地址 imooc PHP开发APP接口 学习要点 APP接口简介 封装通信接口方法 核心技术 APP接口实例 服务器端 -> 数据库|缓存 -> 调用 ...

  2. PHP开发APP接口(二)

    这里将会调用前面博客的数据库连接单例.文件缓存类和开发APP接口(一) <?php // http://app.com/list.php?page-=1&pagesize=12 requ ...

  3. PHP开发APP接口

    第1章 APP接口简介 - 课程简介 (:) - APP接口介绍 (:) - 客户端APP通信 (:) 最近学习 - 客户端APP通信格式区别 (:) - APP接口做的哪些事儿 (:) 第2章 封装 ...

  4. PHP开发APP接口学习笔记

    习要点概述1.APP接口简介 2.封装通信接口方法 3.核心技术 4.APP接口实例 服务器和客户端进行接口数据通信:服务器 -->数据库|缓存 -->调用接口 -->客户端 服务器 ...

  5. PHP开发APP接口实现--基本篇

    最近一段时间一直在做APP接口,总结一下APP接口开发以来的心得,与大家分享: 1. 客户端/服务器接口请求流程: 安卓/IOS客户端   –> PHP接口 –> 服务器端  –> ...

  6. 关于开发APP接口版本不兼容的问题

    关于 APP接口版本兼容的问题. iOS和android 要不断开发新版本,很多服务端开发都是在以前接口的逻辑上进行修改. 新的APP和接口开发后,接口如何兼容老的APP? 有的公司 每次发布完APP ...

  7. PHP开发APP接口之返回数据

    首先说明一下客户端APP通信的格式 1.xml:扩展标记语言(1.用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,xml格式统一,跨平台和语言,非常适合数据传输和通信,早已 ...

  8. php开发APP接口(总结一)

    一.什么是app接口:服务端与客户端的数据交互. 大部分APP接口是通过http协议通信的. http通信的三要素: URL:   通信的地址 Method:通信的方式(get | post | pu ...

  9. PHP 开发 APP 接口 学习笔记与总结 - APP 接口实例 [5] 版本设计分析及数据表设计

    APP 版本升级以及 APP 演示 ① 版本升级分析以及数据表设计 ② 版本升级接口开发以及 APP 演示 /** * version_upgrade 版本升级信息表 */ CREATE TABLE ...

随机推荐

  1. ### Error building SqlSession. ### The error may exist in SQL Mapper Configuration ### Cause: org.apache.ibatis.builder.BuilderException: Error parsing SQL Mapper Configuration. Cause: org.apache.ibat

    这是一个由粗心导致的错误,具体报错如下: org.apache.ibatis.exceptions.PersistenceException: ### Error building SqlSessio ...

  2. JWT详解-(JSON Web Token教程)

    JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法. 一.跨域认证的问题 互联网服务离不开用户认证.一般流程是下面这样. 1.用户向服务器发送用户名和密 ...

  3. 二gradle创建SSM项目——Hello word

    一创建gradle web项目 1.以下是我的项目结构web工程+工具module,mapper用来存放mybatis-plus自动生成类,通过 MpGenerator.class 生成.   项目结 ...

  4. java.lang.NoClassDefFoundError: javax/transaction/Synchronization

    转自:https://blog.csdn.net/andsionok/article/details/68490848 今天在整合ssh框架中 程序报告Java.lang.NoClassDefFoun ...

  5. ABBYY FineReader 14.0.107.232 Enterprise 下载和安装使用

    目录 1. 按 2. 软件功能 3. 软件特色 4. 安装说明 5. 激活说明 6. 下载地址 1. 按 ABBYY FineReader 是款功能强大的OCR文字识别软件:它支持者用户进行使用文档的 ...

  6. 07-求解Ax=0:主变量、特解

    一.定义转向算法 在第六节讲了空间,列空间,零空间的定义,这节主要讲解如何求出这些空间,即求解$Ax=0$的过程是怎么样的过程,以下面的矩阵$A$为例:(这里主要是长方阵) $A=\left[\beg ...

  7. dict/json转xml

    在json转xml时,首先传进来的一定是一个dict,如果不是需要转一下,然后开始迭代,遇到dict则递归,如果是list则循环递归,否则认为是文字,将其写入,逻辑不复杂,因为为了代码循环不是太频繁, ...

  8. 二、冯式结构与哈佛结构及ARM处理器状态和处理器模式

    2.1 冯式结构与哈佛结构 2.1.1 两者的区别 如果是独立的存储架构和信号通道那就是哈佛结构,否则就是冯式结构 结构与是否统一编址没有关系,也与 CPU 没有关系,与计算机的整体设计有关 CACH ...

  9. gbase整合mybatis出现: Cause: java.sql.SQLException: Can't convert to: binary stream

    参考地址:http://mybatis-user.963551.n3.nabble.com/Map-SQL-Type-LVARCHAR-x-to-JDBC-Type-VARCHAR-globally- ...

  10. Flutter-SearchDelegate搜索框

    搜索欄 import 'package:flutter/material.dart'; typedef SearchItemCall = void Function(String item); cla ...