Yii框架防止sql注入，xss攻擊與csrf攻擊的方法

2024-05-04 23:51:13

字體：大中小

供稿：網(wǎng)友

本文實(shí)例講述了Yii框架防止sql注入，xss攻擊與csrf攻擊的方法。分享給大家供大家參考，具體如下：

PHP中常用到的方法有：

/* 防sql注入,xss攻擊 (1)*/function actionClean($str){    $str=trim($str);    $str=strip_tags($str);    $str=stripslashes($str);    $str=addslashes($str);    $str=rawurldecode($str);    $str=quotemeta($str);    $str=htmlspecialchars($str);    //去除特殊字符    $str=preg_replace("///|/~|/!|/@|/#|//$|/%|/^|/&|/*|/(|/)|/_|/+|/{|/}|/:|/<|/>|/?|/[|/]|/,|/.|//|/;|/'|/`|/-|/=|///|/|/", "" , $str);    $str=preg_replace("//s/", "", $str);//去除空格、換行符、制表符    return $str;}//防止sql注入。xss攻擊(1)public function actionFilterArr($arr){    if(is_array($arr)){      foreach($arr as $k => $v){        $arr[$k] = $this->actionFilterWords($v);      }    }else{      $arr = $this->actionFilterWords($arr);    }    return $arr;}//防止xss攻擊public function actionFilterWords($str){    $farr = array(      "/<(///?)(script|i?frame|style|html|body|title|link|meta|object|//?|//%)([^>]*?)>/isU",      "/(<[^>]*)on[a-zA-Z]+/s*=([^>]*>)/isU",      "/select|insert|update|delete|drop|/'|///*|/*|/+|/-|/"|/././/|/.//|union|into|load_file|outfile|dump/is"    );    $str = preg_replace($farr,'',$str);    return $str;}//防止sql注入,xss攻擊(2)public function post_check($post) {   if(!get_magic_quotes_gpc()) {     foreach($post as $key=>$val){       $post[$key] = addslashes($val);     }    }   foreach($post as $key=>$val){    //把"_"過濾掉    $post[$key] = str_replace("_", "/_", $val);    //把"%"過濾掉    $post[$key] = str_replace("%", "/%", $val); //sql注入    $post[$key] = nl2br($val);    //轉(zhuǎn)換html    $post[$key] = htmlspecialchars($val); //xss攻擊   }   return $post;}

調(diào)用：

//防止sql$post=$this->post_check($_POST);//var_dump($post);die;$u_name=trim($post['u_name']);$pwd=trim($post['pwd']);if(empty($u_name)||empty($pwd)){  exit('字段不能非空');}$u_name=$this->actionFilterArr($u_name);$pwd=$this->actionFilterArr($pwd);//防止sql注入，xss攻擊$u_name=$this->actionClean(Yii::$app->request->post('u_name'));$pwd=$this->actionClean(Yii::$app->request->post('pwd'));$email=$this->actionClean(Yii::$app->request->post('email'));//防止csrf攻擊$session=Yii::$app->session;$csrf_token=md5(uniqid(rand(),TRUE));$session->set('token',$csrf_token);$session->set('token',time());//接收數(shù)據(jù)if($_POST){  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){    exit('csrf攻擊');  }  //防止sql  .....

(必須放在接收數(shù)據(jù)之外)

注意：

表單提交值，為防止csrf攻擊，控制器中需要加上：

//關(guān)閉csrfpiblic $enableCsrfValidation = false;

希望本文所述對大家基于Yii框架的PHP程序設(shè)計有所幫助。

注：相關(guān)教程知識閱讀請移步到PHP教程頻道。

上一篇：PHP魔術(shù)方法以及關(guān)于獨(dú)立實(shí)例與相連實(shí)例的全面講解

下一篇：Yii框架中sphinx索引配置方法解析

學(xué)習(xí)交流

硬盤分區(qū)如何設(shè)置準(zhǔn)確的分區(qū)空間

硬盤分區(qū)如何設(shè)置準(zhǔn)確的分區(qū)空間...

熱門圖片

猜你喜歡的新聞

猜你喜歡的關(guān)注

国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

Yii框架防止sql注入，xss攻擊與csrf攻擊的方法