Yii框架防止sql注入,xss攻击与csrf攻击的方法
来源:互联网 发布:ubuntu 如何使用汉语 编辑:程序博客网 时间:2024/05/22 14:09
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:
PHP中常用到的方法有:
/* 防sql注入,xss攻击 (1)*/function actionClean($str){ $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); $str=quotemeta($str); $str=htmlspecialchars($str); //去除特殊字符 $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str); $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符 return $str;}//防止sql注入。xss攻击(1)public function actionFilterArr($arr){ if(is_array($arr)){ foreach($arr as $k => $v){ $arr[$k] = $this->actionFilterWords($v); } }else{ $arr = $this->actionFilterWords($arr); } return $arr;}//防止xss攻击public function actionFilterWords($str){ $farr = array( "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU", "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is" ); $str = preg_replace($farr,'',$str); return $str;}//防止sql注入,xss攻击(2)public function post_check($post) { if(!get_magic_quotes_gpc()) { foreach($post as $key=>$val){ $post[$key] = addslashes($val); } } foreach($post as $key=>$val){ //把"_"过滤掉 $post[$key] = str_replace("_", "\_", $val); //把"%"过滤掉 $post[$key] = str_replace("%", "\%", $val); //sql注入 $post[$key] = nl2br($val); //转换html $post[$key] = htmlspecialchars($val); //xss攻击 } return $post;}
调用:
//防止sql$post=$this->post_check($_POST);//var_dump($post);die;$u_name=trim($post['u_name']);$pwd=trim($post['pwd']);if(empty($u_name)||empty($pwd)){ exit('字段不能非空');}$u_name=$this->actionFilterArr($u_name);$pwd=$this->actionFilterArr($pwd);//防止sql注入,xss攻击$u_name=$this->actionClean(Yii::$app->request->post('u_name'));$pwd=$this->actionClean(Yii::$app->request->post('pwd'));$email=$this->actionClean(Yii::$app->request->post('email'));//防止csrf攻击$session=Yii::$app->session;$csrf_token=md5(uniqid(rand(),TRUE));$session->set('token',$csrf_token);$session->set('token',time());//接收数据if($_POST){ if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){ exit('csrf攻击'); } //防止sql .....
注意:
表单提交值,为防止csrf攻击,控制器中需要加上:
//关闭csrfpiblic $enableCsrfValidation = false;
更多关于Yii相关内容感兴趣的读者可查看本站专题:《Yii框架入门及常用技巧总结》
《php优秀开发框架总结》、《smarty模板入门基础教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。
阅读全文
0 0
- Yii框架防止sql注入,xss攻击与csrf攻击的方法
- 详解SQL 注入、XSS 攻击、CSRF 攻击
- SQL 注入、XSS 攻击、CSRF 攻击
- CI框架全局防止SQL注入(防止XSS攻击)的方法
- 防止xss攻击与sql注入
- 防止sql注入 xss攻击
- 浅析:XSS攻击、SQL注入攻击和CSRF攻击
- PHP中防止SQL注入攻击和XSS攻击的两个简单方法
- PHP中防止SQL注入攻击和XSS攻击的两个简单方法
- 每日一得--sql注入、xss攻击、csrf攻击防御
- XSS攻击与CSRF攻击
- XSS与CSRF攻击
- sql防注入攻击与xss攻击
- 防止SQL注入和XSS攻击Filter
- MVC 如何防止XSS、SQL注入攻击
- 防止SQL注入和XSS攻击Filter
- PHP防止SQL注入和XSS攻击
- 防止SQL注入和XSS攻击Filter
- 判断二叉树是否是二叉搜索树
- 为mysql数据库建立索引
- 机器学习_贝叶斯公式/先验概率/后验概率
- vtkactor 用GetProperty()设置颜色属性不起作用
- Markdown语法说明
- Yii框架防止sql注入,xss攻击与csrf攻击的方法
- 用户与组管理
- Unity框架学习笔记(一) 什么是MVC
- ACM--计算几何--平面扫描
- OpenCV图像矩阵Mat的基本操作
- 【BZOJ3812】【状压DP】【容斥原理】主旋律 题解
- C#中判断线程的状态
- 使用列表组织WebView解决返回页面总是刷新的问题
- 神经网络解结构中关键部分的构造方法