php 关于thinkphp的防sql注入跟过滤问题

thinkphp防sql怎么做啊，以get，post为例，求大神指教，最好来段简单的源码，让我参考下，谢谢了

推荐答案推荐于2018-04-12

　　防止SQL注入
　　opensns
　　对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：
　　$User = M("User"); // 实例化User对象
　　$User->find($_GET["id"]);
　　即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
　　通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入，要有效的防止SQL注入问题，我们建议：
　　查询条件尽量使用数组方式，这是更为安全的方式；
　　如果不得已必须使用字符串查询条件，使用预处理机制（3.1版本新增特性）；
　　开启数据字段类型验证，可以对数值数据类型做强制转换；（3.1版本开始已经强制进行字段类型验证了）
　　使用自动验证和自动完成机制进行针对应用的自定义过滤；
　　字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
　　查询条件预处理
　　where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：
　　$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
　　或者
　　$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
　　模型的query和execute方法同样支持预处理机制，例如：
　　$model->query('select * from user where id=%d and status=%d',$id,$status);
　　或者
　　$model->query('select * from user where id=%d and status=%d',array($id,$status));
　　execute方法用法同query方法。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://55.wendadaohang.com/zd/QRLIQc4e8.html

其他回答

第1个回答推荐于2016-07-17

用着个过滤传过来的值，这两个用之前先判断是否开启了
get_magic_quotes_gpc();没有开启的话用以下两个都可以过滤
mysql_real_escape_string();一般用于sql语句
addslashes();
例如：
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
//或者mysql_real_escape_string($_POST[‘lastname’])
} else {
$lastname = $_POST[‘lastname’];
}追问

没有效果啊，我这是thinkphp框架啊，没有显示出任何的东西

追答

这个是用来放sql注入的。你想有什么效果呀

追问

我就是不明白，这段代码怎么用，那我写入数据库的时候取那个值啊？

追答

写入数据的时候是$lastname 这个转义以后的值呀

本回答被提问者采纳

第2个回答 2013-08-30

get 通过url 传递安全系数不如post高追问

但是我的网站，有些值必须要用GET来传值啊

追答