Yii框架防止sql注入,xss攻击与csrf攻击的方法


Posted in PHP onOctober 18, 2016

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用:

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrf
piblic $enableCsrfValidation = false;

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

PHP 相关文章推荐
用PHP产生动态的影像图
Oct 09 PHP
PHP+AJAX实现无刷新注册(带用户名实时检测)
Jan 02 PHP
利用static实现表格的颜色隔行显示的代码
Sep 02 PHP
java EJB 加密与解密原理的一个例子
Jan 11 PHP
PHP array_flip() 删除重复数组元素专用函数
May 16 PHP
PHP文件操作实现代码分享
Sep 01 PHP
PHP实现将HTML5中Canvas图像保存到服务器的方法
Nov 28 PHP
PHP SPL标准库之SplFixedArray使用实例
May 12 PHP
Yii基于数组和对象的Model查询技巧实例详解
Dec 28 PHP
php-msf源码详解
Dec 25 PHP
Laravel框架实现model层的增删改查(CURD)操作示例
May 12 PHP
Laravel定时任务的每秒执行代码
Oct 22 PHP
php中array_slice和array_splice函数解析
Oct 18 #PHP
Yii框架中jquery表单验证插件用法示例
Oct 18 #PHP
Yii框架实现邮箱激活的方法【数字签名】
Oct 18 #PHP
PHP魔术方法以及关于独立实例与相连实例的全面讲解
Oct 18 #PHP
浅谈PHP拦截器之__set()与__get()的理解与使用方法
Oct 18 #PHP
利用PHP绘图函数实现简单验证码功能的方法
Oct 18 #PHP
Yii针对添加行的增删改查操作示例
Oct 18 #PHP
You might like
php实现httpclient类示例
2014/04/08 PHP
php去除数组中重复数据
2014/11/18 PHP
php通过curl模拟登陆DZ论坛
2015/05/11 PHP
php bootstrap实现简单登录
2016/03/08 PHP
ThinkPHP中create()方法自动验证实例
2017/04/26 PHP
js AspxButton的客户端操作
2009/06/26 Javascript
FireFox下XML对象转化成字符串的解决方法
2011/12/09 Javascript
JavaScript缓冲运动实现方法(2则示例)
2016/01/08 Javascript
深入浅析JavaScript中with语句的理解
2016/05/12 Javascript
微信端开发--登录小程序步骤
2017/01/11 Javascript
搭建element-ui的Vue前端工程操作实例
2018/02/23 Javascript
JavaScript设计模式之建造者模式实例教程
2018/07/02 Javascript
VUE 配置vue-devtools调试工具及安装方法
2018/09/30 Javascript
layui复选框的全选与取消实现方法
2019/09/02 Javascript
[05:46]2018完美盛典-《同梦共竞》
2018/12/17 DOTA
探寻python多线程ctrl+c退出问题解决方案
2014/10/23 Python
Python深入06——python的内存管理详解
2016/12/07 Python
Python机器学习之SVM支持向量机
2017/12/27 Python
python获取微信小程序手机号并绑定遇到的坑
2018/11/19 Python
详解Python3之数据指纹MD5校验与对比
2019/06/11 Python
python使用opencv对图像mask处理的方法
2019/07/05 Python
Pycharm 2019 破解激活方法图文详解
2019/10/11 Python
python学生信息管理系统实现代码
2019/12/17 Python
Python基础教程之输入输出和运算符
2020/07/26 Python
Python用摘要算法生成token及检验token的示例代码
2020/12/01 Python
详解Python 中的 defaultdict 数据类型
2021/02/22 Python
css3 border-image使用说明
2010/06/23 HTML / CSS
Audible英国:有声读物,30天免费试用
2019/10/16 全球购物
SQL语言面试题
2013/08/27 面试题
物业电工岗位职责
2013/11/20 职场文书
大学生职业生涯规划书的基本内容
2014/01/06 职场文书
《兰亭集序》教学反思
2014/02/11 职场文书
运动会闭幕式解说词
2014/02/21 职场文书
邀请函范文
2015/02/02 职场文书
于丹论语心得观后感
2015/06/15 职场文书
2019年亲子运动会口号
2019/10/11 职场文书