Wie kann ich verhindern sql-injections in CAKEphp

Wie kann ich verhindern, sql-Injektionen von einer Seite wie dieser...http://u.neighborrow.com/Artikel/recent

InformationsquelleAutor adam | 2010-11-09
  1. 17

    CakePHP schon schützt Sie vor SQL-Injection, wenn Sie CakePHP ist ORM Methoden wie find() und save()) und die richtige array-notation (dh. array('field' => $Wert)) anstelle von raw-SQL. Für die Entkeimung gegen XSS-seine in der Regel besser zu speichern raw-HTML in Datenbank ohne änderungen und bereinigen Sie an der Ausgabe/Anzeige.

    Dies sollte Ihnen eine gute Idee wie es zu tun.

    App::import('Sanitize'); 
class MyController extends AppController {     ...     ... }

    Sobald Sie das getan haben, können Sie Anrufe zu Desinfizieren sind statisch.

    InformationsquelleAutor Keng
  2. 5

    CakePHP kümmert. Ihr Buch Lesen.

    • Der link funktioniert nicht
    InformationsquelleAutor Harmen
  3. 3

    Müssen Sie desinfizieren nur in den seltenen Fällen, wo Sie brauchen, um zu schreiben, raw-Abfragen.

    Roh-Abfrage:

    $this->User->query("select username from users where email='$email_received_from_user_form'");

    vor der Ausführung, die Sie benötigen, um:

    App::import('Sanitize');

$email_received_from_user_form = Sanitize::paranoid($email_received_from_user_form, array('@', '_', '-', '.'));

    Wenn richtig eingesetzt, Daten-Bereinigung entfernen/Bearbeiten, alle bösartigen chars in der Abfrage (keine sql-Injektionen).

    Siehe hier: http://book.cakephp.org/2.0/en/core-utility-libraries/sanitize.html

    Nachdem Sie erfahren alles über Daten-Bereinigung versuchen Sie nicht, es zu benutzen. Verwenden Sie die CakePHP Weg wie so:

    $this->User->field('username', array('email' => $email_received_from_user_form));

    Ich in diesem Fall brauchen Sie sich keine sorgen zu machen über SQL injections überhaupt. Sie sollten nie roh Abfragen, es sei denn, Ihr haben keine andere Wahl.

    InformationsquelleAutor Ivelin
Schreibe einen Kommentar