Yii框架防止sql注入,xss攻击与csrf攻击的方法

 更新时间:2016年10月18日 10:52:29   作者:Love满天星   我要评论
这篇文章主要介绍了Yii框架防止sql注入,xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用:

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrf
piblic $enableCsrfValidation = false;

更多关于Yii相关内容感兴趣的读者可查看本站专题:《Yii框架入门及常用技巧总结》、《php优秀开发框架总结》、《smarty模板入门基础教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql金沙国际官网操作入门教程》及《php常见金沙国际官网操作技巧汇总

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

相关文章

  • Yii2实现log输出到file及database的方法

    Yii2实现log输出到file及database的方法

    这篇文章主要介绍了Yii2实现log输出到file及database的方法,结合实例形式分析了Yii2日志输出到文件及金沙国际官网的相关设置与实现技巧,需要的朋友可以参考下
    2016-11-11
  • 多个PHP中文字符串截取函数

    多个PHP中文字符串截取函数

    字符串截取是一个非常常见的编程任务,而往往带中文的字符串截取会经常用到。虽然不难,但是自己写函数实现又耗费时间,这里介绍一个比较好用的字符串截取函数,能够胜任基本的需求了
    2013-11-11
  • Laravel框架表单验证操作实例分析

    Laravel框架表单验证操作实例分析

    这篇文章主要介绍了Laravel框架表单验证操作,结合实例形式分析了Laravel框架表单验证相关的表单数据提交、验证、错误信息提示等相关操作技巧,需要的朋友可以参考下
    2019-09-09
  • ThinkPHP数据操作方法总结

    ThinkPHP数据操作方法总结

    这篇文章主要介绍了ThinkPHP数据操作方法,以实例形式较为详细的分析总结了ThinkPHP添加、更新、查询及删除数据的实现技巧,具有一定参考借鉴价值,需要的朋友可以参考下
    2015-09-09
  • Zend Framework路由器用法实例详解

    Zend Framework路由器用法实例详解

    这篇文章主要介绍了Zend Framework路由器用法,结合实例形式分析了Zend Framework路由器的功能、定义与基本使用方法,需要的朋友可以参考下
    2016-12-12
  • Yii2实现增删改查后留在当前页的方法详解

    Yii2实现增删改查后留在当前页的方法详解

    yii2.0框架是PHP开发的一个比较高效率的框架,集合了作者的大量心血,下面这篇文章主要介绍了Yii2如何实现增删改查后仍留在当前页的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
    2017-01-01
  • 浅谈php中的访问修饰符private、protected、public的作用范围

    浅谈php中的访问修饰符private、protected、public的作用范围

    下面小编就为大家带来一篇浅谈php中的访问修饰符private、protected、public的作用范围。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-11-11
  • 简单示例AJAX结合PHP代码实现登录效果代码

    简单示例AJAX结合PHP代码实现登录效果代码

    比较简单的通过ajax+php实现登陆功能,这是个简单的例子,固定字符,实际应用中可以从金沙国际官网中读取
    2008-07-07
  • PHP示例演示发送邮件给某个邮箱

    PHP示例演示发送邮件给某个邮箱

    文中通过示例代码介绍了php表单提交并发送邮件给某个邮箱,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-04-04
  • php递归方法实现无限分类实例代码

    php递归方法实现无限分类实例代码

    这篇文章主要介绍了php递归方法实现无限分类实例代码,需要的朋友可以参考下
    2014-02-02

最新评论