首页 > 语言 > PHP > 正文

Yii框架防止sql注入,xss攻击与csrf攻击的方法

2024-05-04 23:51:13
字体:
来源:转载
供稿:网友

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

/* 防sql注入,xss攻击 (1)*/function actionClean($str){    $str=trim($str);    $str=strip_tags($str);    $str=stripslashes($str);    $str=addslashes($str);    $str=rawurldecode($str);    $str=quotemeta($str);    $str=htmlspecialchars($str);    //去除特殊字符    $str=preg_replace("///|/~|/!|/@|/#|//$|/%|/^|/&|/*|/(|/)|/_|/+|/{|/}|/:|/<|/>|/?|/[|/]|/,|/.|//|/;|/'|/`|/-|/=|///|/|/", "" , $str);    $str=preg_replace("//s/", "", $str);//去除空格、换行符、制表符    return $str;}//防止sql注入。xss攻击(1)public function actionFilterArr($arr){    if(is_array($arr)){      foreach($arr as $k => $v){        $arr[$k] = $this->actionFilterWords($v);      }    }else{      $arr = $this->actionFilterWords($arr);    }    return $arr;}//防止xss攻击public function actionFilterWords($str){    $farr = array(      "/<(///?)(script|i?frame|style|html|body|title|link|meta|object|//?|//%)([^>]*?)>/isU",      "/(<[^>]*)on[a-zA-Z]+/s*=([^>]*>)/isU",      "/select|insert|update|delete|drop|/'|///*|/*|/+|/-|/"|/././/|/.//|union|into|load_file|outfile|dump/is"    );    $str = preg_replace($farr,'',$str);    return $str;}//防止sql注入,xss攻击(2)public function post_check($post) {   if(!get_magic_quotes_gpc()) {     foreach($post as $key=>$val){       $post[$key] = addslashes($val);     }    }   foreach($post as $key=>$val){    //把"_"过滤掉    $post[$key] = str_replace("_", "/_", $val);    //把"%"过滤掉    $post[$key] = str_replace("%", "/%", $val); //sql注入    $post[$key] = nl2br($val);    //转换html    $post[$key] = htmlspecialchars($val); //xss攻击   }   return $post;}

调用:

//防止sql$post=$this->post_check($_POST);//var_dump($post);die;$u_name=trim($post['u_name']);$pwd=trim($post['pwd']);if(empty($u_name)||empty($pwd)){  exit('字段不能非空');}$u_name=$this->actionFilterArr($u_name);$pwd=$this->actionFilterArr($pwd);//防止sql注入,xss攻击$u_name=$this->actionClean(Yii::$app->request->post('u_name'));$pwd=$this->actionClean(Yii::$app->request->post('pwd'));$email=$this->actionClean(Yii::$app->request->post('email'));//防止csrf攻击$session=Yii::$app->session;$csrf_token=md5(uniqid(rand(),TRUE));$session->set('token',$csrf_token);$session->set('token',time());//接收数据if($_POST){  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){    exit('csrf攻击');  }  //防止sql  .....

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

//关闭csrfpiblic $enableCsrfValidation = false;

 

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

 



注:相关教程知识阅读请移步到PHP教程频道。

上一篇:PHP魔术方法以及关于独立实例与相连实例的全面讲解

下一篇:Yii框架中sphinx索引配置方法解析

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
学习交流
更多

硬盘分区如何设置准确的分区空间

硬盘分区如何设置准确的分区空间...
热门图片
更多
猜你喜欢的新闻
猜你喜欢的关注

新闻热点

英伟达市值一夜大涨9246亿 创2023年5月以来最大单周涨幅
2024-04-27 13:35:46
雷军:小米正在申请3万件专利,以提升自身的竞争力
2024-04-27 13:33:47
人参泡酒15年后竟“复活”?网友:这酒还能喝不?
2024-04-24 22:53:44
芯片股普涨!英伟达市值一夜大涨6000亿元
2024-04-23 19:32:50
面馆老板1天卖100碗刚够交房租 要卖到150碗才能实现盈利
2024-04-23 19:25:50
跌近30%!茶百道上市一小时跌没3年净利润
2024-04-23 19:13:19

疑难解答

图片精选

网友关注

关于本站 - 网上投稿 - 商务合作 - 隐私政策 - 网站地图
Copyright © 2008 - 2024 VEVB.COM. All Rights Reserved.武林网 版权所有