Yii之数据安全

原創 Jtoman 2020-06-22 00:31

假如:

$str = 'hello<script>alert(##################);</script>';
$data = array();
$data['view_hello'] = $str;
return $this->renderPartial('index',$data);---->视图层获取:<?= view_hello?>

则在视图层中会把script当做执行程序执行

处理方式

a、在view视图层中,用Html类转义

<?php
use yii\helpers\Html;
?>
<?= Html::encode(view_hello)?>//输出时会原样输出JavaScript代码

b、在view视图层中,用HtmlPurifier类彻底过滤

<?php
use yii\helpers\HtmlPurifier;
?>
<?= HtmlPurifier::process(view_hello)?>//输出时仅输出hello文本
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

记一次有点抽象的渗透经历

0x01 獲取webshell 在各種信息蒐集中,發現某個ip的端口掛着一個比較老的服務。 首先看到了員工工號和手機號的雙重驗證,也不知道賬號是什麼結構組成的,基本上放棄字典爆破這一條路。於是乎打開之前用燈塔的掃描結果,看看文件泄露是否

原創 2024-05-17 23:16:30

win 环境下 docker 的使用整理

1、下載: https://www.docker.com/products/docker-desktop/   如果電腦分多個盤,建議下載到可用存儲較大的盤,安裝的時候默認安裝到 C 盤,安裝完成後雙擊啓動   如果出現【Docker

原創 2024-05-17 00:25:04

树莓派真是个让人欲罢不能的“小妖精”

大晚上不睡覺、枸杞泡起來@我 一個月之前、自從入了樹莓派4b 8g板之後、就無法自拔,上班除了開發業務代碼和搭建內部UI組件庫之外,就是不亦樂乎的學習docker、mysql、mongodb、php、python、frp等,採購了阿里雲E

osc_51airx3z 2024-05-14 00:37:28

记一些CISP-PTE题目解析

0x01 命令執行 直接payload: 127.0.0.1 &whoami,發現可以成功執行whoami命令 然後ls ../ ,發現有個key.php文件 嘗試用cat命令查看發現不行被攔截了。(其實題目過濾了常用的查看文件的命

原創 2024-05-11 23:51:24

云效 Pipeline as Code 来了!这些场景,用好它效率翻倍!

從可視化編排到支持 YAML 編排 雲效流水線 Flow 是開箱即用的企業級持續集成和持續交付工具,支持豐富的代碼源、構建、自動化測試工具、多種部署類型和部署方式,與阿里雲深度集成,還提供多種企業級特性,助力企業高效完成從開發到上線 CIC

原創 2024-05-11 21:15:05

php 主动关闭连接,并继续执行后续程序

ob_start(); echo 'hello world'; $size_o = ob_get_length(); header("Content-Length: $size_o"); header('Connection: cl

原創 2024-04-29 00:38:29

php7.4编译

 wget https://www.php.net/distributions/php-7.4.33.tar.gz  ./configure --prefix=/usr/local/php7.4 --with-openssl --with-

charley158 2024-04-28 23:51:42

三十分钟入门基础Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

WebDriver库:实现对音频文件的自动下载与保存

1. 背景介紹 音頻娛樂在當今社會已經成爲了人們日常生活中不可或缺的一部分。從早晨的音樂播放到晚上的電臺節目,音頻內容貫穿了我們的整個生活。隨着互聯網的普及和技術的進步,越來越多的音頻內容通過網絡平臺進行傳播和分享。網易雲音樂作爲中國領

原創 2024-04-22 23:25:04

实操|基于OceanBase打造更稳定的Zabbix监控系统

近日,Zabbix和OceanBase成功完成了兼容認證。Zabbix支持OceanBase作爲後臺數據庫存儲配置數據和歷史數據,並且性能更優於MySQL數據庫。 Zabbix簡略系統拓撲圖: Zabbix Server和Zabbix

Zabbix中國 2024-04-17 22:13:13

抢先体验:Zabbix 7.0全新Dashboard和MFA功能,增强可视化、安全性、灵活性!

(感謝本文作者張世宏,Zabbix開源社區專家,暱稱張思德。) Zabbix 7.0 beta2 已於2024年3月20日發佈,Zabbix 7.0 LTS預計於2024年Q2正式發佈。筆者立即下載體驗,感受是Zabbix 7.0在數據

原創 2024-04-17 22:13:12

tp5命令行报 [BadFunctionCallException] not support: redis

tp5命令行報 [BadFunctionCallException] not support: redis 芝麻開門2015 於 2018-09-30 18:29:49 發佈 閱讀量1.3w  收藏 1 點贊數 分類專欄: php 版權 p

原創 2024-04-17 00:27:13

Mac使用pecl安装redis报错:Warning:mkdir():File exists in System.php

在MAC下,PHP是使用brew安裝的最新版。接着安裝redis擴展。在路徑 /usr/local/Cellar/php/8.3.4/bin/ 下使用命令 pecl install redis 最後提示: Build process com

原創 2024-04-11 21:26:42

关于转义符 \ 在php正则中的匹配问题

今天做題遇到一個很經典的問題,記錄一下,先看一段代碼 <?php $str,=,"\\"; $pattern,=,"/\\/"; if(preg_match($partern,$str,$arr)) { ,,,,echo,"suc

原創 2024-04-09 22:46:30

MySQL 主从 AUTO_INCREMENT 不一致问题分析

作者:vivo 互聯網數據庫團隊 - Wei Haodong 本文介紹了 MySQL5.7 中常見的replace into 操作造成的主從auto_increment不一致現象,一旦觸發了主從切換,業務的正常插入

原創 2024-04-07 11:24:46