yii2如何防止xss攻击

广告:宝塔Linux面板高效运维的服务器管理软件 点击【 https://www.bt.cn/p/uNLv1L 】立即购买

yii2如何防止xss攻击

yii2防止xss攻击的方法:首先定义一个用于防xss攻击的“actionClean”方法;然后在方法体内实现去除特殊字符;最后调用该方法即可。

PHP中常用到的方法有:

推荐:《yii教程》

 /*  防sql注入,xss攻击  (1)*/    function actionClean($str)    {        $str=trim($str);        $str=strip_tags($str);        $str=stripslashes($str);        $str=addslashes($str);        $str=rawurldecode($str);        $str=quotemeta($str);        $str=htmlspecialchars($str);        //去除特殊字符        $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);        $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符        return $str;    }    //防止sql注入。xss攻击(1)    public function actionFilterArr($arr)    {        if(is_array($arr)){            foreach($arr as $k => $v){                $arr[$k] = $this->actionFilterWords($v);            }        }else{            $arr = $this->actionFilterWords($arr);        }        return $arr;    }    //防止xss攻击   public function actionFilterWords($str)    {        $farr = array(            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",            "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"        );        $str = preg_replace($farr,'',$str);        return $str;    }    //防止sql注入,xss攻击(2)    public function post_check($post) {      if(!get_magic_quotes_gpc()) {          foreach($post as $key=>$val){             $post[$key]  = addslashes($val);          }        }      foreach($post as $key=>$val){        //把"_"过滤掉        $post[$key] = str_replace("_", "\_", $val);        //把"%"过滤掉        $post[$key] = str_replace("%", "\%", $val); //sql注入        $post[$key] = nl2br($val);        //转换html        $post[$key] = htmlspecialchars($val); //xss攻击      }      return $post;  }
登录后复制

调用:

(必须放在接收数据之外)

注意:

表单提交值,为防止csrf攻击,控制器中需要加上:

以上就是yii2如何防止xss攻击的详细内容,更多请关注9543建站博客其它相关文章!

广告:SSL证书一年128.66元起,点击购买~~~

9543建站博客
一个专注于网站开发、微信开发的技术类纯净博客。
作者头像
admin创始人

肥猫,知名SEO博客站长,14年SEO经验。

上一篇:基于workerman的实时推送(摒弃ajax轮询)
下一篇:关于微信小程序 location API接口的解析

发表评论

关闭广告
关闭广告