编程 PHP

Yii框架防止sql注入，xss攻击与csrf攻击的方法

Posted in PHP onOctober 18, 2016

本文实例讲述了Yii框架防止sql注入，xss攻击与csrf攻击的方法。分享给大家供大家参考，具体如下：

PHP中常用到的方法有：

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用：

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入，xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意：

表单提交值，为防止csrf攻击，控制器中需要加上：

//关闭csrf
piblic $enableCsrfValidation = false;

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

Yii框架防止sql注入，xss攻击与csrf攻击的方法

- Author -

Love满天星

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

PHP Memcached + APC + 文件缓存封装实现代码

Mar 11 PHP

PHP中数字检测is_numeric与ctype_digit的区别介绍

Oct 04 PHP

探讨file_get_contents与curl效率及稳定性的分析

Jun 06 PHP

使用PHP会话(Session)实现用户登陆功能

Jun 29 PHP

php网站被挂木马后的修复方法总结

Nov 06 PHP

php异步多线程swoole用法实例

Nov 14 PHP

ThinkPHP中处理表单中的注意事项

Nov 22 PHP

joomla数据库操作示例代码

Jan 06 PHP

PHP框架Laravel插件Pagination实现自定义分页

Apr 22 PHP

PHP+jquery+CSS制作头像登录窗（仿QQ登陆）

Oct 20 PHP

PHP+原生态ajax实现的省市联动功能详解

Aug 15 PHP

phpinfo的知识点总结

Oct 10 PHP

php中array_slice和array_splice函数解析

Oct 18 #PHP

Yii框架中jquery表单验证插件用法示例

Oct 18 #PHP

Yii框架实现邮箱激活的方法【数字签名】

Oct 18 #PHP

PHP魔术方法以及关于独立实例与相连实例的全面讲解

Oct 18 #PHP

浅谈PHP拦截器之__set()与__get()的理解与使用方法

Oct 18 #PHP

利用PHP绘图函数实现简单验证码功能的方法

Oct 18 #PHP

Yii针对添加行的增删改查操作示例

Oct 18 #PHP

You might like

解析php入库和出库

2013/06/25 PHP

ThinkPHP登录功能的实现方法

2014/08/20 PHP

详解Window7 下开发php扩展

2015/12/31 PHP

PHP设置Cookie的HTTPONLY属性方法

2017/02/09 PHP

Nigma vs Alliance BO5 第二场2.14

2021/03/10 DOTA

js实现的网站首页随机公告随机公告

2007/03/14 Javascript

JS Timing

2007/04/21 Javascript

JQuery 入门实例1

2009/06/25 Javascript

js调用图片隐藏&显示实现代码

2013/09/13 Javascript

JavaScript框架(iframe)操作总结

2014/04/16 Javascript

用js一次改变多个input的readonly属性值的方法

2014/06/11 Javascript

JavaScript中String.match()方法的使用详解

2015/06/06 Javascript

jquery使用ul模拟select实现表单美化的方法

2015/08/18 Javascript

基于js实现二级下拉联动

2016/12/17 Javascript

jQuery插件HighCharts实现的2D面积图效果示例【附demo源码下载】

2017/03/15 Javascript

JS设计模式之状态模式概念与用法分析

2018/02/05 Javascript

vue-amap根据地址回显地图并mark的操作

2020/11/03 Javascript

python根据距离和时长计算配速示例

2014/02/16 Python

python实现监控windows服务并自动启动服务示例

2014/04/17 Python

python在Windows下安装setuptools(easy_install工具)步骤详解

2016/07/01 Python

python中异常捕获方法详解

2017/03/03 Python

Python 处理数据的实例详解

2017/08/10 Python

win7 x64系统中安装Scrapy的方法

2018/11/18 Python

Python实现的银行系统模拟程序完整案例

2019/04/12 Python

Django实现微信小程序的登录验证功能并维护登录态

2019/07/04 Python

浅析Django中关于session的使用

2019/12/30 Python

Python数组并集交集补集代码实例

2020/02/18 Python

详解Python3中的 input() 函数

2020/03/18 Python

Html5移动端网页端适配(js+rem)

2021/02/03 HTML / CSS

手工制作的音乐盒：Music Box Attic

2019/09/05 全球购物

旅游管理实习自我鉴定

2013/09/29 职场文书

《中华少年》教学反思

2014/02/15 职场文书

群众路线自查自纠工作情况报告

2014/10/28 职场文书

2015年党员个人工作总结

2015/05/13 职场文书

办公室主任岗位竞聘书

2015/09/15 职场文书

浅谈MySQL表空间回收的正确姿势

2021/10/05 MySQL