首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

Yii框架防止sql注入,xss攻击与csrf攻击的方法

Posted in PHP onOctober 18, 2016

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用:

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrf
piblic $enableCsrfValidation = false;

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

Yii框架防止sql注入,xss攻击与csrf攻击的方法

- Author -

Love满天星

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
PHP 编程的 5个良好习惯
Feb 20 PHP
php在文件指定行中写入代码的方法
May 23 PHP
php读取目录所有文件信息dir示例
Mar 18 PHP
PHP JSON格式的中文显示问题解决方法
Apr 09 PHP
php获取json数据所有的节点路径
May 17 PHP
PHP+Mysql+jQuery中国地图区域数据统计实例讲解
Oct 10 PHP
PHP多维数组转一维数组的简单实现方法
Dec 23 PHP
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
Dec 23 PHP
PHP中$GLOBALS['HTTP_RAW_POST_DATA']和$_POST的区别分析
Jul 03 PHP
利用Homestead快速运行一个Laravel项目的方法详解
Nov 14 PHP
Ubuntu 16.04中Laravel5.4升级到5.6的步骤
Dec 07 PHP
PHP使用gearman进行异步的邮件或短信发送操作详解
Feb 27 PHP
php中array_slice和array_splice函数解析
Oct 18 #PHP
Yii框架中jquery表单验证插件用法示例
Oct 18 #PHP
Yii框架实现邮箱激活的方法【数字签名】
Oct 18 #PHP
PHP魔术方法以及关于独立实例与相连实例的全面讲解
Oct 18 #PHP
浅谈PHP拦截器之__set()与__get()的理解与使用方法
Oct 18 #PHP
利用PHP绘图函数实现简单验证码功能的方法
Oct 18 #PHP
Yii针对添加行的增删改查操作示例
Oct 18 #PHP
YB217(1) PL-365(1) 再生机(1) YB400(2) 森海(1) 1 Tube Radio(1) YB235(1) 直流胆(1) 东方红(1) 德生(17)
You might like
php INI配置文件的解析实现分析
2011/01/04 PHP
php实现的Captcha验证码类实例
2014/09/22 PHP
PHP使用内置函数生成图片的方法详解
2016/05/09 PHP
中高级PHP程序员应该掌握哪些技术?
2016/09/23 PHP
Yii2.0 RESTful API 基础配置教程详解
2018/12/26 PHP
JavaScript监测ActiveX控件是否已经安装过的代码
2008/09/02 Javascript
javascript实现的元素拖动函数宿主为浏览器
2014/07/21 Javascript
JS实现简单路由器功能的方法
2015/05/27 Javascript
JavaScript中Number.MAX_VALUE属性的使用方法
2015/06/04 Javascript
jquery如何获取元素的滚动条高度等实现代码
2015/10/19 Javascript
javascript单页面手势滑屏切换原理详解
2016/03/21 Javascript
jQuery链式调用与show知识浅析
2016/05/11 Javascript
详解Angular 4.x NgIf 的用法
2017/05/22 Javascript
jQuery实现对网页节点的增删改查功能示例
2017/09/18 jQuery
jqueryUI tab标签页代码分享
2017/10/09 jQuery
VSCode中如何利用d.ts文件进行js智能提示
2018/04/13 Javascript
在vue-cli的组件模板里使用font-awesome的两种方法
2018/09/28 Javascript
使用express来代理服务的方法
2019/06/21 Javascript
微信小程序 自定义弹窗实现过程(附代码)
2019/12/05 Javascript
小程序中设置缓存过期的实现方法
2020/01/14 Javascript
jquery实现简单自动轮播图效果
2020/07/29 jQuery
[38:40]2018DOTA2亚洲邀请赛 4.6淘汰赛 mineski vs LGD 第一场
2018/04/10 DOTA
python开发之thread线程基础实例入门
2015/11/11 Python
Python的装饰器使用详解
2017/06/26 Python
Python标准库之itertools库的使用方法
2017/09/07 Python
ubuntu安装sublime3并配置python3环境的方法
2018/03/15 Python
详解python运行三种方式
2019/05/13 Python
python3.7 使用pymssql往sqlserver插入数据的方法
2019/07/08 Python
Python高并发和多线程有什么关系
2020/11/14 Python
网络技术支持面试题
2013/04/22 面试题
数据库测试通常都包括哪些方面
2015/11/30 面试题
大学生找工作推荐信范文
2013/11/28 职场文书
销售提升方案
2014/06/07 职场文书
党的群众路线教育实践活动查摆问题自查报告
2014/10/10 职场文书
小学英语教学随笔
2015/08/14 职场文书
如何使用PostgreSQL进行中文全文检索
2021/05/27 PostgreSQL