thinkphp 防止sql注入

即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)，如果你采用PDO方式的话，还支持参数绑定。

通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入。

要有效的防止SQL注入问题，我们建议：

• 查询条件尽量使用数组方式，这是更为安全的方式；
• 如果不得已必须使用字符串查询条件，使用预处理机制；
• 使用自动验证和自动完成机制进行针对应用的自定义过滤；
• 如果环境允许，尽量使用PDO方式，并使用参数绑定。

查询条件预处理

where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：

1. $Model->where("id=%d and username=‘%s‘ and xx=‘%f‘",array($id,$username,$xx))->select();
2. // 或者
3. $Model->where("id=%d and username=‘%s‘ and xx=‘%f‘",$id,$username,$xx)->select();

模型的query和execute方法 同样支持预处理机制，例如：

1. $model->query(‘select * from user where id=%d and status=%d‘,$id,$status);
2. //或者
3. $model->query(‘select * from user where id=%d and status=%d‘,array($id,$status));

execute方法用法同query方法。

thinkphp 防止sql注入

标签：ring   select   enum   strong   status   用户输入   数据格式   使用字符串   定义