首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

Yii框架防止sql注入,xss攻击与csrf攻击的方法

Posted in PHP onOctober 18, 2016

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/
function actionClean($str)
{
    $str=trim($str);
    $str=strip_tags($str);
    $str=stripslashes($str);
    $str=addslashes($str);
    $str=rawurldecode($str);
    $str=quotemeta($str);
    $str=htmlspecialchars($str);
    //去除特殊字符
    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);
    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
    return $str;
}
//防止sql注入。xss攻击(1)
public function actionFilterArr($arr)
{
    if(is_array($arr)){
      foreach($arr as $k => $v){
        $arr[$k] = $this->actionFilterWords($v);
      }
    }else{
      $arr = $this->actionFilterWords($arr);
    }
    return $arr;
}
//防止xss攻击
public function actionFilterWords($str)
{
    $farr = array(
      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
//防止sql注入,xss攻击(2)
public function post_check($post) {
   if(!get_magic_quotes_gpc()) {
     foreach($post as $key=>$val){
       $post[$key] = addslashes($val);
     }
    }
   foreach($post as $key=>$val){
    //把"_"过滤掉
    $post[$key] = str_replace("_", "\_", $val);
    //把"%"过滤掉
    $post[$key] = str_replace("%", "\%", $val); //sql注入
    $post[$key] = nl2br($val);
    //转换html
    $post[$key] = htmlspecialchars($val); //xss攻击
   }
   return $post;
}

调用:

//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
  exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){
    exit('csrf攻击');
  }
  //防止sql
  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrf
piblic $enableCsrfValidation = false;

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

Yii框架防止sql注入,xss攻击与csrf攻击的方法

- Author -

Love满天星

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
BBS(php &amp; mysql)完整版(四)
Oct 09 PHP
PHP下通过系统信号量加锁方式获取递增序列ID
Sep 25 PHP
php中日期加减法运算实现代码
Dec 08 PHP
php安全之直接用$获取值而不$_GET 字符转义
Jun 03 PHP
PHP将两个关联数组合并函数提高函数效率
Mar 18 PHP
PHP采用curl模仿用户登陆新浪微博发微博的方法
Nov 07 PHP
如何利用http协议发布博客园博文评论
Aug 03 PHP
php微信公众平台开发(四)回复功能开发
Dec 06 PHP
PHP使用递归算法无限遍历数组示例
Jan 13 PHP
PHP实现QQ、微信和支付宝三合一收款码实例代码
Feb 19 PHP
Linux基于php-fpm模式的lamp搭建phpmyadmin的方法
Oct 25 PHP
php操作redis数据库常见方法实例总结
Feb 20 PHP
php中array_slice和array_splice函数解析
Oct 18 #PHP
Yii框架中jquery表单验证插件用法示例
Oct 18 #PHP
Yii框架实现邮箱激活的方法【数字签名】
Oct 18 #PHP
PHP魔术方法以及关于独立实例与相连实例的全面讲解
Oct 18 #PHP
浅谈PHP拦截器之__set()与__get()的理解与使用方法
Oct 18 #PHP
利用PHP绘图函数实现简单验证码功能的方法
Oct 18 #PHP
Yii针对添加行的增删改查操作示例
Oct 18 #PHP
C++面试题(199) Android面试题(6) 网络工程师面试题(96) .NET面试题(131) C#面试题(90) DB面试题(126) Oracle面试题(81) 软件测试工程师面试题(53) LINUX面试题(83) 软件工程师面试题(40)
You might like
Linux下 php5 MySQL5 Apache2 phpMyAdmin ZendOptimizer安装与配置[图文]
2008/11/18 PHP
学习discuz php 引入文件的方法DISCUZ_ROOT
2009/06/21 PHP
解析php addslashes()与addclashes()函数的区别和比较
2013/06/24 PHP
PHP实现的MongoDB数据库操作类分享
2014/05/12 PHP
PHP中创建图像并绘制文字的例子
2014/11/19 PHP
php使用递归函数实现数字累加的方法
2015/03/16 PHP
PHP生成json和xml类型接口数据格式
2015/05/17 PHP
javascript 简单抽屉效果的实现代码
2010/03/09 Javascript
showModalDialog在谷歌浏览器下会返回Null的解决方法
2013/11/27 Javascript
js重写alert控件(适合学习js的新手朋友)
2014/08/24 Javascript
jQuery延迟加载图片插件Lazy Load使用指南
2015/03/25 Javascript
iOS和Android用同一个二维码实现跳转下载链接的方法
2016/09/28 Javascript
简单实现bootstrap导航效果
2017/02/07 Javascript
discuz表情的JS提取方法分析
2017/03/22 Javascript
js利用for in循环获取 一个对象的所有属性以及值的实例
2017/03/30 Javascript
javascript按钮禁用和启用的效果实例代码
2017/10/29 Javascript
小程序实现五星点评效果
2018/11/03 Javascript
用element的upload组件实现多图片上传和压缩的示例代码
2019/02/12 Javascript
jQuery中each和js中forEach的区别分析
2019/02/27 jQuery
JavaScript实现选项卡效果的分析及步骤
2019/04/16 Javascript
vue实现图片上传功能
2020/05/28 Javascript
Python中用startswith()函数判断字符串开头的教程
2015/04/07 Python
django session完成状态保持的方法
2018/11/27 Python
Python基于BeautifulSoup爬取京东商品信息
2020/06/01 Python
纯CSS3实现地球自转实现代码(图文教程附送源码)
2012/12/26 HTML / CSS
HTML5地理定位与第三方工具百度地图的应用
2016/11/17 HTML / CSS
巴西男士胡须和头发护理产品商店:Beard
2017/11/13 全球购物
Oral-B荷兰:牙医最推荐的品牌
2020/02/25 全球购物
如何设置Java的运行环境
2013/04/05 面试题
倡议书格式
2014/04/14 职场文书
党员学习群众路线心得体会
2014/11/04 职场文书
2015年社区纪检工作总结
2015/04/21 职场文书
就业意向书范本
2015/05/11 职场文书
公司开业主持词
2015/07/02 职场文书
宣传稿格式范文
2015/07/23 职场文书
Python编写冷笑话生成器
2022/04/20 Python