Yii防注入攻击笔记
摘要:
网站表单有注入漏洞须对所有用户输入的内容进行个过滤和检查,可以使用正则表达式或者直接输入字符判断,大部分是只允许输入字母和数字的,其它字符度不允许;对于内容复杂表单的内容,应该对html和script的符号进行转义替换:尤其是,',"",&这几个符号这里有个转义对照表:http://blog.csdn.net/xinzhu1990/article/details/7032301单引号替换成两个直接将客户端传过来的的参数值直接组成字符串sql,而不是使用statment填充参数的方式,也没有进行字符串处理和过滤,这些地方都有注入的漏洞,尤其是没有对单引号过滤p 阅读全文
posted @ 2014-01-22 22:45 imxiu 阅读(1954) 评论(0) 推荐(0) 编辑