0
如果用戶假一種形式,改變輸入的角色,他可以改變在數據庫領域。 如何通過假投入保護Yii表單?Yii的假表漏洞
型號Users.php
array('role', 'numerical', 'integerOnly'=>true),
Q
Yii的假表漏洞
A
回答
2
你不能 '保護窗體'。您需要通過會話或其他一些存儲方式將數據從客戶端(即表單)移動到服務器(即php)。
只要用戶的機器是負責設置數據(即通過表單),那麼他們可以把它改成爲所欲爲。如果你沒有在服務器端獨立驗證的方法,那麼不要指望表單向你發送一些你可以信任的東西。
關於會話,請參閱:
存儲狀態信息和敏感數據僅在服務器端:http://www.yiiframework.com/doc/api/1.1/CHttpSession
從常見的弱點枚舉項目(http://cwe.mitre.org/data/definitions/807.html)詳細簡介。 確保系統明確和毫不含糊地保存了 跟蹤自己的狀態和用戶狀態,並具有合法 狀態轉換定義的規則。不要讓任何應用程序的用戶直接在不是通過導致 狀態轉換是合法的行爲等任何方式影響狀態 。
相關問題
- 1. ReactJS中的安全漏洞或漏洞?
- 2. glibc fnmatch漏洞:如何揭露漏洞?
- 3. asp.net散列表漏洞
- 4. nHibernate漏洞
- 5. wordpress timthumb.php漏洞
- 6. DotNetNuke漏洞
- 7. FWRITE漏洞
- 8. XSS漏洞
- 9. ActiveX漏洞
- 10. XSS漏洞
- 11. PHP MySQL的漏洞
- 12. GlassFish目錄泄漏漏洞
- 13. xcode中的漏洞C++列表
- 14. XSS漏洞在JavaScript
- 15. Wordpress漏洞警報
- 16. URL重寫漏洞
- 17. Libpng漏洞問題
- 18. Kotlin擴展漏洞
- 19. NSXMLParser刷新漏洞
- 20. C:IFS系統()漏洞
- 21. TOCTTOU代碼漏洞
- 22. SQL注入漏洞
- 23. tomcat漏洞討論
- 24. Sql注入漏洞
- 25. 瞭解Wordpress漏洞
- 26. 防止XSS漏洞
- 27. MoPub安全漏洞
- 28. Struts2的Freemarker的XSS漏洞
- 29. z-index的IE8漏洞:
- 30. 與MySQL錯誤的漏洞
我同意,作爲一個經驗法則永遠不要相信用戶的輸入,也Yii中,只定義了用戶輸入的規則,他們不能被大衆分配的方式。 – Asgaroth