1. 首页
  2. 问答
  3. yii质量模型属性分配和xss安全问题

yii质量模型属性分配和xss安全问题

2014-06-14 57 views
4 
$model->attributes = $_GET[ 'Submission' ];

这看起来对我来说真的很可怕,但它是yii如何为模型分配属性。这是XSS的安全风险吗?它不应该先以某种方式消毒吗?我知道模型得到验证,但它足以恶意输入,特别是如果保存到数据库中,如果你忘了清理输出...yii质量模型属性分配和xss安全问题

来源

2014-06-14 keeg

回答

4

大规模分配不是默认的“开”。只有通过了一些明确的验证规则的字段才会生效。

$model->attributes = $_GET[ 'Submission' ];

相当于这段代码,

$model->attribute1 = $_GET['Submission']['attribute1']; 
$model->attribute2 = $_GET['Submission']['attribute2']; 
$model->attribute3 = $_GET['Submission']['attribute3'];

任何XSS,存在于前SQL注入漏洞会出现在以后也;

为了防止XSS,SQL注入,您可以使用捆绑的CHtmlPurifier类,它是HTML Purifier过滤器库的包装。有多种方式可以使用CHtmlPurifier,一种使用方式是在模型规则中作为过滤器,它将检查XSS字符串。

如果模型规则功能是这样的,例如

public function rules(){ 
    return array(
    array('username, password, salt, email', 'required'), 
    array('username, password, salt, email', 'length', 'max'=>128), 
    array('first_name,last_name,username,email','safe','on'=>'search'), 
    ); 
}

如果使用这个规则,$model->attributes = $_GET[ 'Submission' ];

usernameemail设置大规模的分配将被然而分配first_namelast_name不会分配因为它们只在搜索方案上为安全。 您可以添加一条规则,使他们在说创建搜索,更新这样

public function rules(){ 
     return array(
     array('username, password, salt, email', 'required'), 
     array('username, password, salt, email', 'length', 'max'=>128), 
     array('first_name,last_name','safe','on'=>'create,update'), 
     array('first_name,last_name,username,email','safe','on'=>'search'), 
     ); 
    }

这将使大量分配的安全,但是让你仍然容易受到XX。为了防止XSS您可以使用此类型的过滤器作为一项规则

public function rules(){ 
      return array(
      array('username, password, salt, email', 'required'), 
      array('username, password, salt, email', 'length', 'max'=>128), 
      array('first_name,last_name,username,email','filter'=>array($obj=new CHtmlPurifier(),'purify')), 
      array('first_name,last_name,username,email','safe','on'=>'search'), 
      ); 
     }

现在first_namelast_nameusernameemail都为XSS纯化,SQL字符串之前被验证和大规模的分配方法也适用于所有的四个属性。

铊; DR

  1. Yii提供与你默认的安全功能,庞大的任务只能在有明确的模型验证规则
  2. XSS会发生独立的大规模转让是否为使用

来源

2014-06-14 03:18:21 Manquer

相关问题

 相关问题