yii2如何防止xss攻击-YII-PHP中文网

首页

php框架

YII

yii2如何防止xss攻击

藏色散人

Jul 20, 2020 am 09:55 AM

yii2

yii2防止xss攻击的方法：首先定义一个用于防xss攻击的“actionClean”方法；然后在方法体内实现去除特殊字符；最后调用该方法即可。

yii2如何防止xss攻击

PHP中常用到的方法有：

推荐：《yii教程》

/*  防sql注入,xss攻击  (1)*/
   function actionClean($str)
   {
       $str=trim($str);
       $str=strip_tags($str);
       $str=stripslashes($str);
       $str=addslashes($str);
       $str=rawurldecode($str);
       $str=quotemeta($str);
       $str=htmlspecialchars($str);
       //去除特殊字符
       $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\&#39;|\`|\-|\=|\\\|\|/", "" , $str);
       $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符
       return $str;
   }
 
 
   //防止sql注入。xss攻击(1)
   public function actionFilterArr($arr)
   {
       if(is_array($arr)){
           foreach($arr as $k => $v){
               $arr[$k] = $this->actionFilterWords($v);
           }
       }else{
           $arr = $this->actionFilterWords($arr);
       }
       return $arr;
   }
 
 
   //防止xss攻击
  public function actionFilterWords($str)
   {
       $farr = array(
           "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
           "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
           "/select|insert|update|delete|drop|\&#39;|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
       );
       $str = preg_replace($farr,&#39;&#39;,$str);
       return $str;
   }
 
   //防止sql注入,xss攻击(2)
   public function post_check($post) {
     if(!get_magic_quotes_gpc()) {
         foreach($post as $key=>$val){
            $post[$key]  = addslashes($val);
         }
       }
     foreach($post as $key=>$val){
       //把"_"过滤掉
       $post[$key] = str_replace("_", "\_", $val);
       //把"%"过滤掉
       $post[$key] = str_replace("%", "\%", $val); //sql注入
       $post[$key] = nl2br($val);
       //转换html
       $post[$key] = htmlspecialchars($val); //xss攻击
     }
     return $post;
 }

登录后复制

调用：

(必须放在接收数据之外)

注意：

表单提交值，为防止csrf攻击，控制器中需要加上：

以上是yii2如何防止xss攻击的详细内容。更多信息请关注PHP中文网其他相关文章！

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

热工具

热门话题

gmail邮箱登陆入口在哪里

7801

Java教程

1644

CakePHP 教程

1402

Laravel 教程

1299

PHP教程

1236

显示更多

Related knowledge

YII安全硬化：保护您的应用程序免受漏洞 Apr 03, 2025 am 12:18 AM

在Yii框架中，可以通过以下步骤来保护应用：1)启用CSRF保护，2)实施输入验证，3)使用输出转义。这些措施分别通过嵌入CSRF令牌、定义验证规则和自动HTML转义来防范CSRF、SQL注入和XSS攻击，确保应用的安全性。

yii与Docker：容器化和部署您的应用程序 Apr 02, 2025 pm 02:13 PM

使用Docker容器化和部署Yii应用的步骤包括：1.创建Dockerfile，定义镜像构建过程；2.使用DockerCompose启动Yii应用和MySQL数据库；3.优化镜像大小和性能。这不仅涉及到具体的技术操作，还包括理解Dockerfile的工作原理和最佳实践，以确保高效、可靠的部署。

YII面试问题：ACE您的PHP框架面试 Apr 06, 2025 am 12:20 AM

在准备Yii框架的面试时，你需要了解以下关键知识点：1.MVC架构：理解模型、视图和控制器的协同工作。2.ActiveRecord：掌握ORM工具的使用，简化数据库操作。3.Widgets和Helpers：熟悉内置组件和辅助函数，快速构建用户界面。掌握这些核心概念和最佳实践将帮助你在面试中脱颖而出。

YII的当前状态：查看其受欢迎程度 Apr 13, 2025 am 12:19 AM

yiiremainspularbutislessfavoredthanlaravel，withabout14kgithubstars.itexcelsinperformanceandactiverecord，buthasasteperlearningcurveandasmallerecosystem.it'sidealfordealfordealfordEvelforkerfordEvelforkerplovelfordEvelforkerporporporporporporporporizatized efferporization effervastecoseposevastecosystecystemystem。

YII：网络开发的强大框架 Apr 15, 2025 am 12:09 AM

Yii是一个高性能的PHP框架，专为快速开发和高效的代码生成设计。其核心特性包括：MVC架构：Yii采用MVC架构，帮助开发者将应用逻辑分离，使代码更易维护和扩展。组件化和代码生成：通过组件化和代码生成，Yii减少开发者的重复工作，提高开发效率。性能优化：Yii使用延迟加载和缓存技术，确保高负载下的高效运行，并提供强大的ORM功能简化数据库操作。