摘要:
1、原则上不直接使用$_POST $_GET数据,因为Yii为了防止数据不可逆的破坏,没有对$_POST $_GET处理2、如果使用POST方式提交,直接使用模型验证即可3、如果使用$_GET方式提交Qiang推荐使用2种方式处理这是qiang的回复: 我提到了两个问题:一是SQL Injection攻击,一个是XSS攻击。对于前者,需要避免的是直接把用户输入嵌入到SQL里,例如:"SELECT * FROM tbl_user WHERE id={$_GET['id']}"。恶意用户可以让$_GET['id']等于"1; DELET 阅读全文
posted @ 2013-02-21 09:33
linksgo2011
阅读(581)
评论(0)
推荐(0)
浙公网安备 33010602011771号