今天我说一下怎么在框架中over掉这些安全问题。

      首先是SQL注入，这个如果你使用的是PDO，我觉得应该没什么问题，如果你使用的还是mysql_*等API，那么你可以在框架中实现bindParameter或者在插入数据库之前进行字符串转义。

      前两天把上一篇文章写完之后，Vian在后面留言说到过SQL注入的一个解决方案，就是在在插入DB之前进行'''.addslashes($id).'''，它的意思就是首先进行addslashes操作，之后再强制单引号包裹，这样它就是一个不折不扣的字符串了，所以就注入不了，我觉得这个方法不错，赞一个！！

      由于SQL注入需要联系到模型，XSS需要联系到视图，这两块儿我都没有开始讲，所以我再后面再讲怎么在框架中解决，当然，如果我写到后面忘记了，你也可以提醒我一下。

      上一次我讲CSRF的时候，并没有给出一个解决方案，今天我就给出这个解决方案。实际上解决的方法很简单，就是给它产生一个随机数，然后后端判定传递过来的数和正确的数是否吻合， 如果不吻合，就不执行相应的代码了，这个随机数我们称为token。

      为了简单，我们就将产生token和得到token的函数都写在控制器中，即Controller.php。

      首先是生成随机数，最简单的方式是使用mt_rand()直接产生一个整数，但在这儿我使用之前我在initphp这个框架中看到的解决csrf的方法，在这儿，也谢谢initphp作者的思路：

      initphp的代码是：

1	private function set_token() {

2	if (!$_COOKIE['init_token']) {

3	$str = substr(md5(time(). $this->get_useragent()), 5, 8);

4	setcookie("init_token", $str, NULL, '/');

5	$_COOKIE['init_token'] = $str;

6 免责声明： 本文仅代表作者个人观点，与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。 相关资料更多> php5中文函数手册: PHP加密解密函数，适合PHP4、PHP5 设置相同名称的cookie，返回它们的值_PHP应用实例 PHP怎么将数据库表的列值赋值给数组 PHP,21世纪的霸主(四)_其它文章 php基础编程 未结帖申请,该怎么解决 这个数组是怎样得出“详细”结果 htaccess有关问题 服务器上PHP环境已经搭建好，接下来如何把网站放到服务器上可以访问啊 数据库的插入,该怎么处理 推荐阅读更多> 简单php采集网页部分文字有关问题，求指点，谢谢 白痴的js控制disabled有关问题 php.ini 惯用 配置 PHP的XML分析函数（转）　（介绍这个PHP里的XML分析函数的文章可不太有哦。。 看过这篇就应该清楚点了吧... facebook api curl Status message解决办法 有关于mysql数据库和php的一些小疑点，请高手指教 symfony报错：Couldn't locate driver named mysql,该如何处理 复杂代码，请高手指教,该怎么处理 求个简单的正则,该如何解决 Linux 下 PHP 连接 MS SQLServer 的办法_PHP数据库 为什么静态方法不能操作静态变量?该怎么处理 MySQL数据库及其ODBC接口的介绍(3) (转载) 关于static的议论 推荐一个美的PHP Framework –Yii Framework php保险版本与非安全版本 关于一个preg_replace 正则表达式 替换的有关问题 php 归拢两个有序数组 使用Xheditor遇到的一个有关问题 php哪个环境出有关问题了，现在必须加密才能用 一个很奇怪的有关问题 php字符串判断有关问题