Yii框架防止sql注入,xss攻击与csrf攻击的方法


Posted in PHP onOctober 18, 2016

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用:

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrf
piblic $enableCsrfValidation = false;

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

PHP 相关文章推荐
php5编程中的异常处理详细方法介绍
Jul 29 PHP
PHP 身份验证方面的函数
Oct 11 PHP
PHP中最容易忘记的一些知识点总结
Apr 28 PHP
php利用curl抓取新浪微博内容示例
Apr 27 PHP
dedecms函数分享之获取某一栏目所有子栏目
May 19 PHP
php中ob_get_length缓冲与获取缓冲长度实例
Nov 20 PHP
PHP统一页面编码避免乱码问题
Apr 09 PHP
php实现异步数据调用的方法
Dec 24 PHP
PHP实现webshell扫描文件木马的方法
Jul 31 PHP
kindeditor 加入七牛云上传的实例讲解
Nov 12 PHP
PHP7导出Excel报ERR_EMPTY_RESPONSE解决方法
Apr 16 PHP
如何让PHP编码更加好看利于阅读
May 12 PHP
php中array_slice和array_splice函数解析
Oct 18 #PHP
Yii框架中jquery表单验证插件用法示例
Oct 18 #PHP
Yii框架实现邮箱激活的方法【数字签名】
Oct 18 #PHP
PHP魔术方法以及关于独立实例与相连实例的全面讲解
Oct 18 #PHP
浅谈PHP拦截器之__set()与__get()的理解与使用方法
Oct 18 #PHP
利用PHP绘图函数实现简单验证码功能的方法
Oct 18 #PHP
Yii针对添加行的增删改查操作示例
Oct 18 #PHP
You might like
php 数组的创建、调用和更新实现代码
2009/03/09 PHP
PHP header()函数使用详细(301、404等错误设置)
2013/04/17 PHP
phpexcel导入excel数据使用方法实例
2013/12/24 PHP
PHP Cli 模式设置进程名称的方法
2019/06/12 PHP
图片自动更新(说明)
2006/10/02 Javascript
Div Select挡住的解决办法
2008/08/07 Javascript
锋利的jQuery jQuery中的DOM操作
2010/03/21 Javascript
javascript 用原型继承来实现对象系统
2010/03/22 Javascript
『jQuery』名称冲突使用noConflict方法解决
2013/04/22 Javascript
nodejs爬虫抓取数据之编码问题
2015/07/03 NodeJs
JS实现弹性菜单效果代码
2015/09/07 Javascript
angularjs自定义ng-model标签的属性
2016/01/21 Javascript
常用jQuery选择器汇总
2017/02/02 Javascript
Angularjs中ng-repeat的简单实例
2017/08/25 Javascript
js字符限制(字符截取) 一个中文汉字算两个字符
2017/09/12 Javascript
JavaScript实现三级级联特效
2017/11/05 Javascript
Vue 页面跳转不用router-link的实现代码
2018/04/12 Javascript
vue+axios+mock.js环境搭建的方法步骤
2018/08/28 Javascript
vue自定义指令之面板拖拽的实现
2019/04/14 Javascript
微信小程序开发搜索功能实现(前端+后端+数据库)
2020/03/04 Javascript
JavaScript实现多球运动效果
2020/09/07 Javascript
[02:03]完美世界DOTA2联赛10月30日赛事集锦
2020/10/31 DOTA
Python中使用HTMLParser解析html实例
2015/02/08 Python
Python2.x版本中maketrans()方法的使用介绍
2015/05/19 Python
使用python实现ANN
2017/12/20 Python
Python pickle模块实现对象序列化
2019/11/22 Python
Python 串口通信的实现
2020/09/29 Python
你正在寻找的CSS3 动画技术
2011/07/27 HTML / CSS
中医专业应届生求职信
2013/11/17 职场文书
创伤外科专业推荐信范文
2013/11/19 职场文书
2014年党员承诺书范文
2014/05/20 职场文书
sass 常用备忘案例详解
2021/09/15 HTML / CSS
GTX1650super好不好 gtx1650super显卡属于什么级别
2022/04/08 数码科技
sql server偶发出现死锁的解决方法
2022/04/10 SQL Server
SQL Server一个字符串拆分多行显示或者多行数据合并成一个字符串
2022/05/25 SQL Server
MySQL数据库实验之 触发器和存储过程
2022/06/21 MySQL