Yii框架防止sql注入,xss攻击与csrf攻击的方法
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:
PHP中常用到的方法有:
/*防sql注入,xss攻击(1)*/
functionactionClean($str)
{
$str=trim($str);
$str=strip_tags($str);
$str=stripslashes($str);
$str=addslashes($str);
$str=rawurldecode($str);
$str=quotemeta($str);
$str=htmlspecialchars($str);
//去除特殊字符
$str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/","",$str);
$str=preg_replace("/\s/","",$str);//去除空格、换行符、制表符
return$str;
}
//防止sql注入。xss攻击(1)
publicfunctionactionFilterArr($arr)
{
if(is_array($arr)){
foreach($arras$k=>$v){
$arr[$k]=$this->actionFilterWords($v);
}
}else{
$arr=$this->actionFilterWords($arr);
}
return$arr;
}
//防止xss攻击
publicfunctionactionFilterWords($str)
{
$farr=array(
"/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
"/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
);
$str=preg_replace($farr,'',$str);
return$str;
}
//防止sql注入,xss攻击(2)
publicfunctionpost_check($post){
if(!get_magic_quotes_gpc()){
foreach($postas$key=>$val){
$post[$key]=addslashes($val);
}
}
foreach($postas$key=>$val){
//把"_"过滤掉
$post[$key]=str_replace("_","\_",$val);
//把"%"过滤掉
$post[$key]=str_replace("%","\%",$val);//sql注入
$post[$key]=nl2br($val);
//转换html
$post[$key]=htmlspecialchars($val);//xss攻击
}
return$post;
}
调用:
//防止sql
$post=$this->post_check($_POST);
//var_dump($post);die;
$u_name=trim($post['u_name']);
$pwd=trim($post['pwd']);
if(empty($u_name)||empty($pwd))
{
exit('字段不能非空');
}
$u_name=$this->actionFilterArr($u_name);
$pwd=$this->actionFilterArr($pwd);
//防止sql注入,xss攻击
$u_name=$this->actionClean(Yii::$app->request->post('u_name'));
$pwd=$this->actionClean(Yii::$app->request->post('pwd'));
$email=$this->actionClean(Yii::$app->request->post('email'));
//防止csrf攻击
$session=Yii::$app->session;
$csrf_token=md5(uniqid(rand(),TRUE));
$session->set('token',$csrf_token);
$session->set('token',time());
//接收数据
if($_POST)
{
if(empty($session->get('token'))&&$session->get('token')!=Yii::$app->request->post('token')&&(time()-$session->get('token_time'))>30){
exit('csrf攻击');
}
//防止sql
.....
(必须放在接收数据之外)
注意:
表单提交值,为防止csrf攻击,控制器中需要加上:
//关闭csrf piblic$enableCsrfValidation=false;
更多关于Yii相关内容感兴趣的读者可查看本站专题:《Yii框架入门及常用技巧总结》、《php优秀开发框架总结》、《smarty模板入门基础教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。