Yii框架防止sql注入,xss攻击与csrf攻击的方法


Posted in PHP onOctober 18, 2016

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用:

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrf
piblic $enableCsrfValidation = false;

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

PHP 相关文章推荐
php 结果集的分页实现代码
Mar 10 PHP
Wordpress 相册插件 NextGEN-Gallery 添加目录将中文转为拼音的解决办法
Dec 29 PHP
比较简单实用的PHP无限分类源码分享(思路不错)
Oct 13 PHP
解析PHP提交后跳转
Jun 23 PHP
php数组随机排序实现方法
Jun 13 PHP
WordPress开发中的get_post_custom()函数使用解析
Jan 04 PHP
php进行ip地址掩码运算处理的方法
Jul 11 PHP
Yii配置与使用memcached缓存的方法
Jul 13 PHP
PHP图形计数器程序显示网站用户浏览量
Jul 20 PHP
thinkphp中多表查询中防止数据重复的sql语句(必看)
Sep 22 PHP
PHP实现双链表删除与插入节点的方法示例
Nov 11 PHP
购物车实现的几种方式优缺点对比
May 02 PHP
php中array_slice和array_splice函数解析
Oct 18 #PHP
Yii框架中jquery表单验证插件用法示例
Oct 18 #PHP
Yii框架实现邮箱激活的方法【数字签名】
Oct 18 #PHP
PHP魔术方法以及关于独立实例与相连实例的全面讲解
Oct 18 #PHP
浅谈PHP拦截器之__set()与__get()的理解与使用方法
Oct 18 #PHP
利用PHP绘图函数实现简单验证码功能的方法
Oct 18 #PHP
Yii针对添加行的增删改查操作示例
Oct 18 #PHP
You might like
收音机术语解释
2021/03/01 无线电
PHP获取当前页面URL函数实例
2014/10/22 PHP
iOS+PHP注册登录系统 PHP部分(上)
2016/12/26 PHP
yii2学习教程之5种内置行为类详解
2017/08/03 PHP
深入解析Laravel5.5中的包自动发现Package Auto Discovery
2017/09/13 PHP
tp5(thinkPHP5)框架连接数据库的方法示例
2018/12/24 PHP
javascript 浏览器检测代码精简版
2010/03/04 Javascript
Jquery判断$(&quot;#id&quot;)获取的对象是否存在的方法
2013/09/25 Javascript
用正则表达式替换图片地址img标签
2013/11/22 Javascript
jQuery制作简洁的多级联动Select下拉框
2014/12/23 Javascript
JQuery实现展开关闭层的方法
2015/02/17 Javascript
jQuery插件实现无缝滚动特效
2015/11/24 Javascript
微信小程序开发图片拖拽实例详解
2017/05/05 Javascript
node.js实现微信JS-API封装接口的示例代码
2017/09/06 Javascript
Angular之jwt令牌身份验证的实现
2020/02/14 Javascript
浅析VUE防抖与节流
2020/11/24 Vue.js
vue+element UI实现树形表格
2020/12/29 Vue.js
[04:50]DOTA2亚洲邀请赛小组赛第四日 TOP10精彩集锦
2015/02/02 DOTA
[03:01]完美世界DOTA2联赛PWL S2 集锦第二期
2020/12/03 DOTA
Python的Django框架中设置日期和字段可选的方法
2015/07/17 Python
python正则表达式re之compile函数解析
2017/10/25 Python
Python列表生成式与生成器操作示例
2018/08/01 Python
Django多数据库的实现过程详解
2019/08/01 Python
详解用Python进行时间序列预测的7种方法
2020/03/13 Python
keras分类之二分类实例(Cat and dog)
2020/07/09 Python
出国导师推荐信
2014/01/16 职场文书
义和团口号
2014/06/17 职场文书
机电一体化应届生求职信
2014/08/09 职场文书
试用期转正工作总结2015
2015/05/28 职场文书
跟班学习心得体会(共6篇)
2016/01/23 职场文书
如何把新闻人物写得立体、鲜活?
2019/08/14 职场文书
python第三方网页解析器 lxml 扩展库与 xpath 的使用方法
2021/04/06 Python
90行Python代码开发个人云盘应用
2021/04/20 Python
如何给HttpServletRequest增加消息头
2021/06/30 Java/Android
Win11右下角图标点了没反应怎么办?Win11点击右下角图标无反应解决方法汇总
2022/07/07 数码科技
win10拖拽文件时崩溃怎么解决?win10文件不能拖拽问题解决方法
2022/08/14 数码科技