这里引用开发组话

注意:Yii是不对$_GET或$_POST进行过滤的,因为这意味着不可逆的数据更改。Yii依赖于model的验证规则对数据进行验证及过滤。为了防止XSS和SQL injection攻击,应该完全避免直接在SQL和HTML里嵌入$_GET或$_POST变量。
应该使用parameter binding和HTML encoding我提到了两个问题:一是SQL Injection攻击,一个是XSS攻击。对于前者,需要避免的是直接把用户输入嵌入到SQL里,例如:"SELECT * FROM tbl_user WHERE id={$_GET['id']}"。
恶意用户可以让$_GET['id']等于"1; DELETE FROM tbl_user",这样就把所有的用户数据都删除了!非常危险!解决办法有好几种。最简单的就是用param binding,请阅读PHP PDO获得相关知识。如果知道id是整数,也可以先把输入强制为整数。或者如果id是字串,可以用CDbConnection::quoteValue()把输入加上引号。如果你用的是AR,那么save()函数自动会使用param binding。如果你用findAll()之类的函数,自己生成condition部分,那就要特别小心不要直接嵌入输入。XSS攻击主要是要避免直接显示用户的输入数据。例如echo $user->description(假设description的数据来自用户的输入)。恶意用户可以让id为一段js代码,使得其它用户查看该页面后隐式执行该代码,从而被恶意用户获得登录cookie等安全信息。解决办法很简单,就是用CHtml::encode()。如果输入是HTML,可以用CHtmlPurifier::purify()来过滤有害代码。

  关于 表前缀的设置

在配置文件中 db 数组的 设置 tablePrefix的值  注意大小写,使用的时候 表名为 {{tbname}}

转载于:https://www.cnblogs.com/yxbs/p/3587407.html

YIi 数据操作备注相关推荐

  1. 使用dplyr进行数据操作(30个实例)

    本文转载自"R语言",已获授权. dplyr软件包是R中功能最强大,最受欢迎的软件包之一.该软件包由最受欢迎的R程序员Hadley Wickham编写,他编写了许多有用的R软件包, ...

  2. 【一周入门MySQL—1】数据库概述、数据定义、数据操作

    数据库概述.数据定义.数据操作 一.数据库概述 数据库基础概念:按照一定的数据结构来组织.存储和管理数据的仓库. 企业数据存储面临的问题: 存储大量数据: 大量数据的检索和访问: 保证数据信息的一致性 ...

  3. coreData数据操作

    // 1. 建立模型文件 // 2. 建立CoreDataStack // 3. 设置AppDelegate 接着 // // CoreDataStack.swift // CoreDataStack ...

  4. SQL应用与开发:(三)数据操作 #183; 改 AND 删

    继续上一篇博客的序幕,接下来,写一些关于数据操作的"改"和"删"的相关课题.在本次的学习总结中,一致围绕着数据的操作问题,这也是数据库基本.最简单的应用之一. ...

  5. mybatis 2 -常用数据操作

    1.写入数据并获取自增ID XML配置: <!-- 写入数据获取自增ID --><insert id="insertLog" parameterType=&quo ...

  6. 小汤学编程之MySQL(二)——数据库操作、表结构操作、表数据操作、查询数据和数据类型

    一.数据库操作 1.创建数据库     2.查询数据库     3.修改数据库     4.使用数据库 二.表结构操作 1.创建表     2.查询表     3.修改表     4.删除表 三.表数 ...

  7. SQL不同服务器数据库之间的数据操作整理(完整版)

    --1. 创建链接服务器 --1.1 创建一个链接名 EXEC sp_addlinkedserver 'LinkName','','SQLOLEDB','远程服务器名或ip地址' --有自定义实例名还 ...

  8. SQL不同服务器数据库之间的数据操作整理(完整版)(转)

    -- Blog   : http://blog.csdn.net/htl258(转载保留此信息) -- Subject: SQL不同服务器数据库之间数据操作整理 ------------------- ...

  9. 39-网上商城数据库-用户信息数据操作

    39-网上商城数据库-用户信息数据操作 项目描述 在电子商务兴起的大环境下,建立利用互联网开拓销售渠道,帮助企业及时调整商品结构,协助经销商打开货源的信息门户成为解决信息流通不畅的有效方案,电子商务有 ...

最新文章

  1. android简单分享----文字加图片
  2. 贪心 Codeforces Round #236 (Div. 2) A. Nuts
  3. java程序设计实用教程答案_Java程序设计实用教程(课本习题解答).doc
  4. 关于PE可执行文件的修改
  5. dz去掉/forum.php_discuz如何去除url的forum.php
  6. .net 序列化与反序列化
  7. mongodb更新操作符$rename
  8. SQL Server 数据库中的 MD5 和 SHA1
  9. [Offer收割]编程练习赛48
  10. mysql安装显示挂起_安装Sql Server 2000时提示“安装Sql挂起”的解决方案
  11. 豆瓣评分9.4,邱锡鹏教授蒲公英书姊妹篇《神经网络与深度学习:案例与实践》重磅来袭...
  12. 微信程序开发之小程序入门
  13. 知识图到文本的生成(十一)
  14. 论学习过程中“结构化”的思维必要作用
  15. 共享打印机客户端报错因为文件共享不安全需要SMB1协议
  16. Oracle 11g 停止正在运行的job
  17. STM32F429i disco 体验
  18. [原]删除dboy病毒
  19. 你用什么软件做笔记?
  20. Webpack工具 - 打包执行中的奇奇怪怪

热门文章

  1. java鼠标右击出现选择窗口_java菜单代码 java中鼠标右击弹出菜单怎样实现
  2. wireshark----教你如何抓包
  3. 今天的时间逻辑以及fix 一个 mysql 程序员错误的习惯
  4. 2019 Web 前端热点笔试面试题总结(转载)
  5. php url传递 加号,坑爹的URL编码-PHP正确处理URL中的加号(+)
  6. java多线程的api_java多线程之:线程对象一些api
  7. 解决datagridview 横向的scrollbar不显示
  8. java跟setattribute,java 中的request.setAttribute和session.setAttribute的区别
  9. GDAL读写矢量文件——Java
  10. the server is not ready for publishing.Please check if the Publishing Tools on the server