doubo4824 2014-11-26 14:26
浏览 9
已采纳

CakePHP清理参数

I have the following method in my CakePHP model:

public function login($login,$password){

    $arr = $this->find('first',array(
        'conditions' => array(
            'deleted' => 0,
            'online' => 1,
            'login' => $login,
            'AES_DECRYPT(UNHEX(password),'secretkey')=\''.$password.'\''
        )
    ));


    return $arr;
}

This method accepts two parameters ($login, $password) to authenticate the user.

I am wondering if this method is safe against SQL-Injection and other attacks.

If not, which is the best way to sanitize the input parameters using CakePHP?

I see that the Sanitize Class is deprecated as of 2.4.

  • 写回答

3条回答 默认 最新

  • douyan1896 2014-11-26 18:33
    关注

    Model::find() is only safe when used properly!

    You must know that only values in key => value pairs are being escaped, keys and non/numerically keyd values are inserted into the SQL query as is!

    Quote from the docs

    CakePHP only escapes the array values. You should never put user data into the keys. Doing so will make you vulnerable to SQL injections.

    http://book.cakephp.org/2.0/en/models/retrieving-your-data.html#complex-find-conditions

    So your find() call as is, is unsafe and prone to SQL injections, it should instead look like this:

    $arr = $this->find('first',array(
    'conditions' => array(
        'deleted' => 0,
        'online' => 1,
        'login' => $login,
        'AES_DECRYPT(UNHEX(password),\'secretkey\')' => $password
    )
));

    That way the user input $login and $password is being escaped properly.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • CakePHP清理参数 php
    2014-11-26 14:26
    回答 3 已采纳 Model::find() is only safe when used properly! You must know that only values in key => value
  • 如何访问CakePHP Shell参数 php
    2017-06-23 10:41
    回答 1 已采纳 Arguments are positional values, options are prefixed values: shell_method argument1 argument2 --
  • CakePHP烘焙PHP版本错误 php
    2017-09-28 21:32
    回答 1 已采纳 That is your webserver problem. There is nothing to do with cake bake. Find a way to configure w
  • 2023年全球最受欢迎的前十个PHP框架
    2023-12-26 11:01
    WPHunter的博客 一般情况下,PHP程序员经常会借助PHP框架来编写代码,而不是从零开始。那么什么是PHP框架,为什么要使用它们,及与大家分享一些最受欢迎的PHP框架。
  • CakePHP 3.0 URL参数 php
    2015-06-28 06:43
    回答 1 已采纳 If the for you created in the view template file is posting to another URL, you need to add the to
  • cakephp中使用PHP Gender扩展 php
    2018-12-05 16:32
    回答 1 已采纳 Without your CakePHP code I can only guess but yes, most likely the namespace creates the problem.
  • CakePHP 2.4.1和PHP 5.5.9问题 php
    2014-03-17 17:13
    回答 1 已采纳 tr this //View/Helper/AppHelper class AppHelper extends Helper { public function isCur
  • cakephp 分页 session
    2011-03-16 19:29
    nanyswing的博客 cakephp中很多都是通过components来完成的,想上传 分页,分页已经集成到了cakephp中,直接用就可以了, 在controller加入 var $paginate = array( 'limit' => 3, 'order' => ...
  • Cakephp3休息参数/过滤器 php
    2015-09-07 05:32
    回答 1 已采纳 Is there a simple solution or is manual programming required? Yes, you need to write code for
  • CakePHP权限问题 php
    2018-09-26 22:02
    回答 1 已采纳 In fact the error message is giving you all the information: […] ensure [.htaccess] is readabl
  • CakePHP 3.0中供应商文件夹中缺少autoload.php php
    2017-05-22 07:06
    回答 1 已采纳 You can recreate your project autoload by this method: Open your terminal, cd /var/www/html/book
  • PHP与Angular详细对比 帮助你选择合适的项目技术
    2023-12-29 10:46
    WPHunter的博客 本文将解决关于PHP与Angular的争论,并帮助您为下一个项目选择最合适的技术。
  • Cakephp网址链接 php
    2017-11-09 11:47
    回答 1 已采纳 "catch-all" routes (like the one in your question) need to go after other routes. This way the sta
  • CakePHP cache helper
    2011-03-18 18:20
    q0126a的博客 CakePHP中缓存引擎的分类: 1. File storage engine 文件缓存是cake默认使用的缓存引擎,它将文件写入文件系统,并且包括多个可选参数与预设值。 2. APC (http://pecl.php.net/package/APC) APC 缓存...
  • php需要学模板吗,PHP开发必备 一步步学PHP模版引擎Dwoo
    2021-04-23 18:59
    lalaland了的博客 而目前的很多PHP的开发框架,在这方面都有很好的解决方案,比如Zend,Agavi,CakePHP和CodeIgniter。然而,假如你的项目不是太大而没使用这些框架时,则可以选用一些开源的PHP模版引擎来实现页面和逻辑的分离,目前...
  • PHP 之道
    2017-02-16 11:36
    simonGeek的博客 PHP The Right Way. Tweet 欢迎 目前网络上充斥着大量的过时资讯,让 PHP 新手误入歧途,并且传播着错误的实践以及不安全的代码。PHP 之道 收集了现有的 PHP 最佳实践、编码规范和权威学习指南,方便 PHP...
  • CakePHP
    2009-09-15 15:06
    weixin_30685047的博客 CakePHP 是一个基于PHP,免费且开源的迅速发展框架。它提供程序员所需要的基本体系架构,因此程序员可以使用它更快速且不失灵活性地创建网络应用程序。而这就是我们创造 CakePHP 的首要目的。 大家对网络开发那...
  • php 代码检查工具命令_在PHP中使用命令行工具
    2020-07-01 03:56
    cuxiong8996的博客 具有许多强大的框架,例如CakePHP和CodeIgniter,可以使您像任何Rails程序员一样高效。 可以与MySQL,PostgreSQL,Microsoft®SQL Server甚至Oracle通信。 轻松与JavaScript框架集成,例如sc...
  • PHP 面试知识点整理归纳
    2018-09-05 18:33
    php小学一年级生的博客 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz...
  • PHP - 收藏集 - 掘金
    2017-05-24 18:44
    weixin_33737134的博客 如何优雅的使用 phpStorm - 后端 - 掘金按照惯例依然是从百科上复制一条简介: PhpStorm 是 JetBrains 公司开发的一款商业的 PHP 集成开发工具。PhpStorm可随时帮助用户对其编码进行调整,运行单元测试或者提供可视化...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 HFSS 中的 H 场图与 MATLAB 中绘制的 B1 场 部分对应不上
  • ¥15 如何在scanpy上做差异基因和通路富集?
  • ¥20 关于#硬件工程#的问题,请各位专家解答!
  • ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
  • ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
  • ¥30 截图中的mathematics程序转换成matlab
  • ¥15 动力学代码报错,维度不匹配
  • ¥15 Power query添加列问题
  • ¥50 Kubernetes&Fission&Eleasticsearch
  • ¥15 報錯:Person is not mapped,如何解決?