摘要:
这里引用开发组话注意:Yii是不对$_GET或$_POST进行过滤的,因为这意味着不可逆的数据更改。Yii依赖于model的验证规则对数据进行验证及过滤。为了防止XSS和SQL injection攻击,应该完全避免直接在SQL和HTML里嵌入$_GET或$_POST变量。应该使用parameter binding和HTML encoding 我提到了两个问题:一是SQL Injection攻击,一个是XSS攻击。对于前者,需要避免的是直接把用户输入嵌入到SQL里,例如:"SELECT * FROM tbl_user WHERE id={$_GET['id']}&quo 阅读全文
摘要:
新建一个文件 globals.php 在里面可以加入自己想添加的函数然后在index.php 引用它require('path/to/globals.php');/** * This is the shortcut to DIRECTORY_SEPARATOR */defined('DS') or define('DS',DIRECTORY_SEPARATOR); /** * This is the shortcut to Yii::app() */function app(){ return Yii::app();} /** * This is 阅读全文
摘要:
有的字段需要设置默认值,这个时候,我们可以使用 rule 规则来实现比如添加时间 addtime ,使用系统时间的时候,在model 层的 rules 方法里面 添加array('addtime','default','value'=>time()),另外 也可以使用网上搜的 beforeSave public function beforeSave() { $this->addtime = time(); return true;}注意:此两者都需要在 rules 规则里面取消 addtime 字段的 required,目前对 YI 阅读全文