doucai4274 2016-01-08 14:22
浏览 20
已采纳

Joomla,正确逃离他们自己的组件

I have written a custom component for Joomla. This RSS feed can be read from different sources and should be stored in the SQL database.

But how do I use the escape function properly? Here is my code:

// Create a new query object.
$query = $db->getQuery(true);

// Insert columns.
$columns = array('id',
                 'id_feedsource', 
                 'title', 
                 'link', 
                 'pubDate', 
                 'timePubDate', 
                 'guid', 
                 'description', 
                 'creator', 
                 'content' , 
                 'read', 
                 'smart', 
                 'demografie', 
                 'urbanisierung', 
                 'arbeitswelten', 
                 'konnektivitaet', 
                 'nano', 
                 'femaleshift', 
                 'energie', 
                 'bildung', 
                 'individualisierung', 
                 'public', 
                 'cache');

// Insert values.
$values = array('NULL',
                $db->quote($db->escape($value['source'])),
                $db->quote($db->escape($value['title'])),
                $db->quote($db->escape($value['link'])),
                $db->quote($db->escape($value['pubDate'])),
                $db->quote($value['timePubDate']),
                $db->quote($db->escape($value['guid'])),
                $db->quote($db->escape($value['description'])),
                $db->quote($db->escape($value['creator'])),
                $db->quote($db->escape($value['content'])),
                0,0,0,0,0,0,0,0,0,0,0,0,0);

// Prepare the insert query.
$query
    ->insert($db->quoteName('#__heka_rss_feeds'))
    ->columns($db->quoteName($columns))
    ->values(implode(',', $values));

// Set the query object and execute it.
$db->setQuery($query);
//echo $query->dump().'<br>';
$db->execute();

Now add in individual contributions "\". For example: NASA\'s Fermi Space Telescope sharpens its high-energy vision

When issuing this does not look nice. Because of the escaping SQL Injection is to be used, but it may not yet be correct. What am I doing wrong?

  • 写回答

1条回答 默认 最新

  • douhuan9289 2016-01-12 14:52
    关注

    I believe the $db->quote also escapes the values. So you will have double escapes the way you did it. Try

    $values = array('NULL',
            $db->quote($value['source']),
            $db->quote($value['title']),
            $db->quote($value['link']), 
            ...

    ...which should work better. See docs here

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • Joomla正确逃离他们自己的组件 php
    2016-01-08 14:22
    回答 1 已采纳 I believe the $db->quote also escapes the values. So you will have double escapes the way you d
  • Joomla组件路由器 php
    2017-03-01 20:29
    回答 2 已采纳 You have one view but you're not actually set the page argument correctly when you catch a view ar
  • Joomla SEF自定义组件任务的URL php
    2017-12-21 15:16
    回答 1 已采纳 After a few more hours of testing I've solved it. I've added router.php to my component folder wit
  • joomla组件开发入门教程
    2020-12-18 15:14
    本文讲述了joomla组件开发知识点。分享给大家供大家参考,具体如下: 在你进行编码之前,有一些文件和文件夹需要创建和一些查询语句需要运行。你不但可以创建组件而且不用额外的配置就可以尝试不同的特性。你也可以...
  • 检查我自己的Joomla组件表单中是否存在用户名 php
    2016-05-29 21:07
    回答 1 已采纳 Use the JUserHelper class like $id = JUserHelper::getUserId(); if ($id) { if (in_array(JUserH
  • PHP:将当前Joomla用户名设置为变量 php
    2018-04-17 12:59
    回答 1 已采纳 It looks like you are already almost doing it. <?php $user = JFactory::getUser(); $us
  • PHP与&和Joomla严重错误 php
    2015-11-04 21:34
    回答 1 已采纳 As a general rule, I would always advise against changing vendor code. It can create complications
  • Joomla下利用configuration.php存储简单数据
    2020-10-29 03:01
    Joomla下利用configuration.php存储简单数据的代码,需要的朋友可以参考下。
  • 直接访问Joomla中的组件 html php
    2014-11-04 14:26
    回答 1 已采纳 In order to load joomla content without template and modules you have to put &tmpl=component at th
  • 使用opendir和PHP页面组件Joomla 1.5 php
    2013-12-11 12:45
    回答 1 已采纳 You should really looks at the Joomla Docs when trying things out. Joomla has it's own class for r
  • Joomla PHP MySQL Query使用MySQL IF功能 mysql php
    2016-06-11 12:21
    回答 1 已采纳 I figured out a better way to resolve my problem using MySQL's OR || function So my fixed
  • joomla 组件
    2017-11-21 16:45
    这是一个Joomla第三方关于社区内容管理的插件,包括了很多复杂功能
  • joomla中安装组件时显示表单 php
    2016-04-04 08:40
    回答 1 已采纳 I think below the joomla notes helpful for you This is the entire script.php file
  • Joomla-PHP
    2021-06-20 07:18
    <p>Joomla!是一套在国外相当知名的内容管理系统CMS,它属于Portal(企业入口网站)类型,顾名思义,就是比较适合作为商业类型的网站程序。</p><p> </p><p>Joomla特点:</p><p>先进的网站技术的运用</p><p>Joomla!...
  • joomla分类组件 dj_classfilelds
    2019-04-29 17:04
    joomla分类组件 dj_classfilelds
  • 多商户B2C2C Joomla商城组件
    2019-05-06 18:51
    多商户B2C2C Joomla商城组件 解决joomla没有多商户的问题 可以直接后台安装使用
  • joomla zoo组件
    2018-12-13 15:52
    joomla建站教程 ZOO和K2一样,同为joomla下的优秀的内容组件,ZOO提供了非常棒的joomla体验,它最重要的功能是你能够创建属于你自己的内容类型。 1、自定义类型:创建您自己的自定义内容类型,创建你喜欢的文章、...
  • Joomla3 MVC组件开发教程
    2018-02-04 17:20
    Joomla3的组件开发教程,内容详尽,层层深入,一步步的讲解,跟着做就能理解Joomla中MVC相互调用的机制,并能做出一个具有相当通用性的Hello World组件来,教程共466页
  • Joomla 1.6 链接跳转组件和插件
    2020-09-28 15:38
    Joomla 1.6新提供了一套“链接跳转”方面组件和插件,其主要功能是记录404错误,在管理员进行过相关设置之后,还可以在发生404错误时自动跳转到指定页面。
  • joomla组件开发
    2015-03-17 09:16
    oomla组件开发-49JController以及其子类 zmax程序人开发
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 uniapp uview http 如何实现统一的请求异常信息提示?
  • ¥15 有了解d3和topogram.js库的吗?有偿请教
  • ¥100 任意维数的K均值聚类
  • ¥15 stamps做sbas-insar,时序沉降图怎么画
  • ¥15 买了个传感器,根据商家发的代码和步骤使用但是代码报错了不会改,有没有人可以看看
  • ¥15 关于#Java#的问题,如何解决?
  • ¥15 加热介质是液体,换热器壳侧导热系数和总的导热系数怎么算
  • ¥100 嵌入式系统基于PIC16F882和热敏电阻的数字温度计
  • ¥15 cmd cl 0x000007b
  • ¥20 BAPI_PR_CHANGE how to add account assignment information for service line