今天我说一下怎么在框架中over掉这些安全问题。

      首先是SQL注入，这个如果你使用的是PDO，我觉得应该没什么问题，如果你使用的还是mysql_*等API，那么你可以在框架中实现bindParameter或者在插入数据库之前进行字符串转义。

      前两天把上一篇文章写完之后，Vian在后面留言说到过SQL注入的一个解决方案，就是在在插入DB之前进行'''.addslashes($id).'''，它的意思就是首先进行addslashes操作，之后再强制单引号包裹，这样它就是一个不折不扣的字符串了，所以就注入不了，我觉得这个方法不错，赞一个！！

      由于SQL注入需要联系到模型，XSS需要联系到视图，这两块儿我都没有开始讲，所以我再后面再讲怎么在框架中解决，当然，如果我写到后面忘记了，你也可以提醒我一下。

      上一次我讲CSRF的时候，并没有给出一个解决方案，今天我就给出这个解决方案。实际上解决的方法很简单，就是给它产生一个随机数，然后后端判定传递过来的数和正确的数是否吻合， 如果不吻合，就不执行相应的代码了，这个随机数我们称为token。

      为了简单，我们就将产生token和得到token的函数都写在控制器中，即Controller.php。

      首先是生成随机数，最简单的方式是使用mt_rand()直接产生一个整数，但在这儿我使用之前我在initphp这个框架中看到的解决csrf的方法，在这儿，也谢谢initphp作者的思路：

      initphp的代码是：

1	private function set_token() {

2	if (!$_COOKIE['init_token']) {

3	$str = substr(md5(time(). $this->get_useragent()), 5, 8);

4	setcookie("init_token", $str, NULL, '/');

5	$_COOKIE['init_token'] = $str;

6 免责声明： 本文仅代表作者个人观点，与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。 相关资料更多> php导入当地excel到在线数据库 高速搭建php运行环境之WampServer 如何获得PHP相关资料 再正则 PHP集成环境推荐解决思路 怎么学习discuz 绑定多域名的PHP代码 Xdebug与zend Optimizer并存有关问题 PHP学习：关于Zend Optimizer 推荐阅读更多> 一堆乱码中找到的～ 求问下这个 Call to undefined function int()的缘故 PHP如何获取DELETE请求的参数 关于继承异常的有关问题 小弟我用flex+php+mysql读取数据显示出现了有关问题！看下写法如何改？ "ENTP" "ISTP"这2个字符串如何单个字符进行比较 PHP 高手之路（二） php 多条json 转换为数组解决思路 转帖：一分钟教会您用google图表中的曲线图和柱状图 PHP的面向对象编程 php 操作mysql安插数据 Php运算符、流程统制、函数 php导出excel表 代码？解决办法 关于php搜索的有关问题 传参过不去！解决方法 有没有curl的替代品解决思路 把全角数字转为半角数字 PHP高效率获取树结构信息 sql在线练习的网址 php数组的统计解决办法