我有一个简单的问题:我是否需要担心OpenCart表单中可能存在的表单注入问题,或者开发人员是否都在关注它?我是否需要清理,剥离和修剪所有表单输入字段?
例如,如果我修改了OC现有的联系表格(信息/联系方式):
$name = filter_var($this->request->post['name'], FILTER_SANITIZE_STRING);
$email = strtolower(preg_replace( '((?:\n|\r|\t|%0A|%0D|%08|%09)+)i' , '', $this->request->post['email']));
答案 0 :(得分:1)
opencart开发人员通过正确转义用户数据来保护opencart中的所有默认表单免受SQL注入。但如果yoy正在创建自己的表单(或字段),那么您需要使用
自行转义它$this->db->escape($user_data);
无论你使用什么数据库(mysql,postegres等),这种方法都会处理转义
他们已经尽了自己的责任,现在你必须尽自己的一份力量。
P.S。您可以看到catalog\model\account\customer.php示例