communauté
Apprendre
Bibliothèque d'outils
Outils d'IA
Loisirs
recherche
Français
Maison > développement back-end > tutoriel php > Yii框架防止sql注入,xss攻击与csrf攻击的方法_php实例

Yii框架防止sql注入,xss攻击与csrf攻击的方法_php实例

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Libérer: 2023-03-03 06:28:01
original
2217 Les gens l'ont consulté

本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下:

PHP中常用到的方法有:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

/* 防sql注入,xss攻击 (1)*/

function actionClean($str)

{

    $str=trim($str);

    $str=strip_tags($str);

    $str=stripslashes($str);

    $str=addslashes($str);

    $str=rawurldecode($str);

    $str=quotemeta($str);

    $str=htmlspecialchars($str);

    //去除特殊字符

    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\&#63;|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);

    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符

    return $str;

}

//防止sql注入。xss攻击(1)

public function actionFilterArr($arr)

{

    if(is_array($arr)){

      foreach($arr as $k => $v){

        $arr[$k] = $this->actionFilterWords($v);

      }

    }else{

      $arr = $this->actionFilterWords($arr);

    }

    return $arr;

}

//防止xss攻击

public function actionFilterWords($str)

{

    $farr = array(

      "/<(\\/&#63;)(script|i&#63;frame|style|html|body|title|link|meta|object|\\&#63;|\\%)([^>]*&#63;)>/isU",

      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

    );

    $str = preg_replace($farr,'',$str);

    return $str;

}

//防止sql注入,xss攻击(2)

public function post_check($post) {

   if(!get_magic_quotes_gpc()) {

     foreach($post as $key=>$val){

       $post[$key] = addslashes($val);

     }

    }

   foreach($post as $key=>$val){

    //把"_"过滤掉

    $post[$key] = str_replace("_", "\_", $val);

    //把"%"过滤掉

    $post[$key] = str_replace("%", "\%", $val); //sql注入

    $post[$key] = nl2br($val);

    //转换html

    $post[$key] = htmlspecialchars($val); //xss攻击

   }

   return $post;

}

Copier après la connexion

调用:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

//防止sql

$post=$this->post_check($_POST);

//var_dump($post);die;

$u_name=trim($post['u_name']);

$pwd=trim($post['pwd']);

if(empty($u_name)||empty($pwd))

{

  exit('字段不能非空');

}

$u_name=$this->actionFilterArr($u_name);

$pwd=$this->actionFilterArr($pwd);

//防止sql注入,xss攻击

$u_name=$this->actionClean(Yii::$app->request->post('u_name'));

$pwd=$this->actionClean(Yii::$app->request->post('pwd'));

$email=$this->actionClean(Yii::$app->request->post('email'));

//防止csrf攻击

$session=Yii::$app->session;

$csrf_token=md5(uniqid(rand(),TRUE));

$session->set('token',$csrf_token);

$session->set('token',time());

//接收数据

if($_POST)

{

  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){

    exit('csrf攻击');

  }

  //防止sql

  .....

Copier après la connexion

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

1

2

//关闭csrf

piblic $enableCsrfValidation = false;

Copier après la connexion

更多关于Yii相关内容感兴趣的读者可查看本站专题:《Yii框架入门及常用技巧总结》、《php优秀开发框架总结》、《smarty模板入门基础教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

Étiquettes associées:
csrf攻击 sql注入 xss攻击 yii框架 防止
Article précédent:基于thinkPHP框架实现留言板的方法_php实例 Article suivant:谈谈php对接芝麻信用踩的坑_php实例
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
Questions sur la légalité
Depuis 1970-01-01 08:00:00
0
0
0
Comment créer un serveur pour un jeu ?
Depuis 1970-01-01 08:00:00
0
0
0
Problèmes de mise à jour de la boîte à outils PHP pour les débutants
Depuis 1970-01-01 08:00:00
0
0
0
Questions sur la table de multiplication pour la boucle for
Depuis 1970-01-01 08:00:00
0
0
0
Je viens de créer un site Web et le programme PHP-cgi occupe le CPU. Comment résoudre le problème ?
Depuis 1970-01-01 08:00:00
0
0
0
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal