本文实例讲述了TP5框架安全机制，分享给大家供大家参考，具体如下：

防止sql注入

1、查询条件尽量使用数组方式，具体如下：

1. $wheres = array(); 
2.    
3. $wheres['account'] = $account; 
4.    
5. $wheres['password'] = $password; 
6.    
7. $User->where($wheres)->find(); 

2、如果必须使用字符串，建议使用预处理机制，具体如下：

1. $User = D('UserInfo'); 
2.    
3. $User->where('account="%s" andpassword="%s"',array($account,$password))->find(); 

3、可以使用PDO方式（绑定参数），因为这里未使用PDO，所以不罗列，感兴趣的可自行查找相关资料。

表单合法性检测

1、配置insertFields和updateFields属性

1. class UserInfoModelextends Model { 
2.    
3.    // 数据表名字 
4.    
5.    protected $tureTableName ='user'; 
6.    
7.    // 配置插入和修改的字段匹配设置（针对表单） 
8.    
9.    protected $insertFields =array('name','sex','age'); 
10.    
11.    protected $updateFields =array('nickname','mobile'); 
12.    
13. } 

上面的定义之后，当我们使用了create方法创建数据对象后，再使用add方法插入数据时，只会插入上面配置的几个字段的值（更新类同），具体如下：

1. // 用户注册（示意性接口:插入） 
2.    
3.    public function register() { 
4.    
5.      // ... 
6.    
7.      // 使用Model的create函数更安全 
8.    
9.      $User= D('UserInfo'); 
10.    
11.      $User->create(); 
12.    
13.      $ID= $User->add(); 
14.    
15.      if($ID) { 
16.    
17.         $result= $User->where('id=%d',array($ID))->find(); 
18.    
19.         echo json_encode($result); 
20.    
21.      } 
22.    
23.      // ... 
24.    
25.    } 

2、使用field方法直接处理

1. // 插入 
2.    
3. M('User')->field('name,sex,age')->create(); 
4.    
5. // 更新 
6.    
7. M('User')->field('nickname,mobile')->create();

Tags: TP5安全机制

分享到：