امنیت در ذخیره اطلاعات

omid.onix · June 19, 2014, 6:51am

[right]سلام

[/right]




$model->attributes=$_POST['Users'];

[right]

به صورت ایمن توو دیتابس با ذخیره بشه post میخواستم بدونم بخوام اطلاعات آرایه

باید چکار کنم

واین که اگر تو همون مدل قبل ذخیره شدن بخوام اول چک بشه امنیتش چی

یک مثال بزنید ممنون میشمbeforeSave باهمون متد

در واقع میخوام

injrction

و

xss

هم چک شود

کلا درست و ایمین ذخیره بشه

ممنونم

[/right]

aamiri · June 19, 2014, 7:34am

[rtl][font="Tahoma"]

سلام

در کل برای جلوگیری از این موارد راه های متعددی هست.

یه کتابی به زبان فارسی از طرف آقای برجیان درباره YII نوشته شده و از همین سایت می تونید دانلود کنید که مطالب خوبی در این زمینه توش هست.

کتاب yii-guide-1.1.14.pdf که همراه با فایل Documentation توزیع میشه هم توضیحات کاملی در این موارد داره. البته به زبان انگلیسی اما ساده.

در خصوص SQL ها امکاناتی مثل استفاده از جانگهدارها (:id) هست که در بخش where کویری به شما اجازه میده جلوی sql injection رو بگیرید.

در Active record هم قابل استفاده هست

[/font][/rtl]




$post=Post::model()->find(’postID=:postID’, array(’:postID’=>10));




$user = Yii::app()->db->createCommand()

	->select(’id, username, profile’)

	->from(’{{user}}’)

	->where(’id=:id’, array(’:id’=>$id))

	->queryRow();

[rtl][font="Tahoma"]

یا مثلا در قسمت components در فایل /config/main.php موارد زیر رو اضافه کنید تا در فرم ها از XSS چلوگیری بشه[/font][/rtl]


	'components'=>array(

		'request'=>array(

				'enableCsrfValidation'=>true,

				'csrfTokenName'=>'yii_csrf_token',

				'enableCookieValidation'=>true,

		),

	),

omid.onix · June 19, 2014, 8:42am

[right]

اول متشکرم از جوابتون

ولی من منظورم ذخیره کردن هست

در مورد خواندن میدونم ولی میخوام موقع ذخیره کردن فرم در دیتابیس هم مقادیر اول چک بشوند و ایمین در جدول ها ذخیره بشن

ممنون میشم اگه در این مورد راهنماییم کنید

[/right]

omid.onix · June 19, 2014, 12:57pm

[right]

واقعا راهی نیست کسی به من بگه؟؟؟؟؟؟

[/right]

rezaonline.net · June 19, 2014, 7:00pm

خب توی beforeSave همه رو مثلا پاکسازی کن یا اصلا اینکارو کن

به جای






&#036;model-&gt;attributes=&#036;_POST['Users'];

بنویس






&#036;model-&gt;attributes=array_map('strip_tags',&#036;_POST['Users']);

aamiri · June 20, 2014, 2:42pm

[rtl][font="Tahoma"]برای کنترل و اعتبارسنجی داده‌های فرم قبل از ذخیره سازی باید از متد rules که داخل فایل مدل شما قبلا توسط gii ایجاد شده

استفاده کنید. در همون کتاب هایی که معرفی کردم راهنمایی کامل موجوده.

در خصوص موارد پیچیده تر هم دوستمون در پست بالا توضیح دادند.[/font][/rtl]




	/**

	 * @return array validation rules for model attributes.

	 */

	public function rules()

	{

	}