為了防止YII中的SQL注入，請使用ActivereCord和查詢構(gòu)建器等內(nèi)置工具安全處理數(shù)據(jù)庫交互。 1。更喜歡ActiverEcord或查詢構(gòu)建器而不是原始查詢，以自動(dòng)逃脫輸入。 2。始終使用參數(shù)化查詢，並避免將用戶輸入置於SQL字符串中。 3。使用模型規(guī)則和輔助功能（如html :: encode（）驗(yàn)證和消毒用戶輸入。 4。使用白名單作為動(dòng)態(tài)SQL元素，並避免暴露數(shù)據(jù)庫錯(cuò)誤。 5。保持YII的更新並遵循安全指南，例如在生產(chǎn)中禁用調(diào)試模式。遵循這些步驟確保安全處理數(shù)據(jù)庫操作並降低SQL注入攻擊的風(fēng)險(xiǎn)。

為了防止YII中的SQL注入攻擊，關(guān)鍵是遵循最佳實(shí)踐，並依靠YII安全處理數(shù)據(jù)庫交互的內(nèi)置工具。該框架本身可以開箱即用，但是您如何使用它很重要。

使用ActiverEcord或查詢構(gòu)建器代替原始查詢

YII的Activerecord和查詢構(gòu)建器旨在幫助您默認(rèn)情況下避免SQL注入。正確使用時(shí)，它們會(huì)自動(dòng)逃脫輸入。

例如，而不是寫這樣的東西（這很危險(xiǎn)）：

 $ customer = yii :: $ app-> db-> createCommand（“從where where id =”。$ _get ['id']）;

你應(yīng)該這樣做：

 $ customer = customer :: findOne（$ _ get ['id']）;

或使用查詢構(gòu)建器：

 $ customer =（new \ yii \ db \ query（））
     - >來自（'客戶'）
     - >其中（['id'=> $ _get ['id']]）
     - >一個(gè)（）;

這些方法確保在包含在SQL查詢中之前，將用戶輸入正確逃脫。

• 始終更喜歡參數(shù)化查詢。
• 避免將用戶輸入直接連接到SQL字符串中。

逃脫並驗(yàn)證用戶輸入

即使使用ActivereCord（例如ActivereCord）的安全方法，在使用之前，驗(yàn)證和消毒用戶輸入仍然是一個(gè)好習(xí)慣。

• 要驗(yàn)證，請使用YII的模型規(guī)則：

  公共功能規(guī)則（）
  {
      返回 [
          ['電子郵件'，'電子郵件']，
          ['用戶名'，'string'，'max'=> 255]，，
      ];
  }

• 使用原始數(shù)據(jù)時(shí)，請使用filter_var()或yii幫助者（例如Html::encode()輸出逃逸：

   echo HTML :: encode（$ userInput）;

驗(yàn)證可確保僅處理預(yù)期的數(shù)據(jù)類型，從而降低了惡意有效載荷滑行的風(fēng)險(xiǎn)。

使用數(shù)據(jù)庫抽象層和白名單

如果您必須編寫自定義SQL，請始終使用參數(shù)綁定：

 $ result = yii :: $ app-> db-> createCommand（'select * where id =：id'）
     - > bindvalue（'：id'，$ _get ['id']）
     - > queryone（）;

這樣，即使有人通過惡意字符串，也不會(huì)將其作為SQL命令的一部分執(zhí)行。

還考慮：

• 使用白名單作為動(dòng)態(tài)列名稱或表名稱之類的東西。
• 避免將數(shù)據(jù)庫錯(cuò)誤直接暴露於用戶 - 記錄它們，但不會(huì)在生產(chǎn)中顯示RAW SQL。

保持YII更新並遵循安全指南

YII定期發(fā)布安全補(bǔ)丁。確保您的應(yīng)用程序在受支持的版本上運(yùn)行。

• 檢查YII安全性最佳實(shí)踐。
• 訂閱安全公告或使用SensiolAbs安全檢查器等工具。
• 關(guān)閉生產(chǎn)中的調(diào)試模式，以避免洩漏敏感信息。

這基本上就是您防止YII中SQL注入的方式。它不是過於復(fù)雜，但是堅(jiān)持這些習(xí)慣會(huì)帶來很大的不同。

以上是如何防止YII中的SQL注射攻擊？的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！