Yii框架数据传输的安全性问题(例如跨站脚本攻击)

最新推荐文章于 2023-01-16 23:10:44 发布
最新推荐文章于 2023-01-16 23:10:44 发布
阅读量372 收藏
点赞数
分类专栏: yii框架学习笔记 文章标签: Yii 安全传输
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18335837/article/details/80843910
版权

我们知道可以通过renderPartial将数据传递给前端进行显示,但有时候难免传递的数据是获取用户的数据,要知道作为程序员是永远都不要相信用户输入的。
比如下面的代码就会出现问题

public function actionSay(){

        //第一步,创建一个数组
        $arr = array();
        //第二步,将数据放入数组中
        $arr['text'] = "Hello world!<script>alert(3);</script>";
        //第三步,传递数据
        return $this->renderPartial('say',$arr);
    }
<h1><?=$text?></h1>

访问时会将其中的script代码执行
这里写图片描述

对于这种问题,有两种办法解决

<?php
use yii\helpers\Html;
use yii\helpers\HtmlPurifier;
?>
<h1><?=HTML::encode($text)?></h1>
<h1><?=HtmlPurifier::process($text) ?></h1>

第一种就是使用HTML::encode进行编码
第二种则是使用HtmlPurifier::process对代码进行过滤
两种方法的区别也很明显,如下如
这里写图片描述

doubly_yi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
yii2框架 反序列化漏洞复现
Zero_Adam的博客
06-19 1238
前言 跟着feng师傅再学习一下yii2的反序列化漏洞,提高代码审计能力 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in
YII Framework框架教程之安全方案详解
12-18
YII中,安全方案是开发过程中不可或缺的一部分,因为它们有助于预防常见的Web应用程序安全威胁,例如脚本(XSS)攻击请求伪造(CSRF)攻击。 1. **脚本攻击(XSS)的防范** XSS攻击主要发生在Web应用从...
Yii数据安全
zhenglouji9184的博客
02-24 339
假如:$str = 'hello<script>alert(##################);</script>'; $data = array(); $data['view_hello'] = $str; return $this->renderPartial('index',$data);---->视图层获取:<?= view_hello?>则在视图层中会把script当做执行程序执行处理
yii 安全问题
Terry - 专注外贸B2C
02-21 631
1. 对于传入的参数值,进行过滤,譬如分页,排序等,如果传入的参数,有一个参数不在约定的数组,则报错, 对于有一些值,譬如一个页的个数,这些也需要做限制,如果不在这个个数数组中,则报错 譬如: $sortBy = $_GET['sort']; if (!in_array($sortBy, ['title', 'created_at', 'status'])) { throw new Ex
YII XSS(脚本攻击)
weixin_30642869的博客
05-27 215
   \Yii::$app->response->headers->add('X-XSS-Protection','0');//表示关闭YII脚本过滤//http://www.frontend.com/test/post?name=<script>alert("hello world!")</script> 反射型注入攻击 echo \Yii...
Yii框架安全特性
baidu_zhongce的博客
12-24 1759
Yii框架的安全特性主要体现在这几个方面: SQL注入的防范措施 XSS的防范措施 CSRF的防范措施 COOKIE验证机制 访问控制过滤器 对magic_quotes_gpc的判断
Yii2 框架、PHP框架
03-16
- 开启XSS防护,避免脚本攻击。 - 避免SQL注入,使用查询构建器或ActiveRecord。 - 定期更新Yii2 和其依赖库,修复可能的安全漏洞。 Yii2 框架凭借其高效、易用和强大的特性,已经成为PHP开发者的热门选择。...
php yii框架,javascript webrtc库 ,视频通话系统(14-15年毕业设计).zip
02-23
2. **安全防护**:内置防止SQL注入、脚本攻击等安全措施,保护应用免受攻击。 3. **代码生成工具**:Gii提供模型、控制器、CRUD操作等自动生成,提高开发效率。 4. **面向对象编程**:Yii完全遵循面向对象的设计...
[PHP整程序]极度迅雷影视整_09959.zip
最新发布
05-25
安全性是任何网都需要关注的重点,PHP整程序中会包含防止SQL注入、XSS攻击的安全措施。例如,使用预编译语句防止SQL注入,对用户输入进行过滤和转义以避免XSS。此外,会使用HTTPS协议保证数据传输的安全,登录...
使用Yii2编程:安全性
代码教主
06-15 388
如果您问“ Yii是什么?” 查阅 Yii Framework简介 ,其中 介绍了Yii 的优点,并概述了Yii 2.0。 在本使用Yii2编程系列中 ,我指导读者使用PHP的Yii2框架。 如果您打算与公众共享您的应用程序,则需要它是安全的,最好是从头开始进行规划。 幸运的是,从诸如Yii之类的框架开始使此过程比以前容易得多。 如Yii功能中所述 : Yii配备了许多安全措施,可帮助...
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
yii反序列化漏洞复现及利用
cosmoslin的博客
10-05 4421
yii反序列化漏洞 Yii框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是一个完全重写的版本,采用了最新的技术和协议
YII1.1 批量插入数据
weixin_34292924的博客
06-15 663
2019独角兽企业重金招聘Python工程师标准>>> ...
13_框架漏洞
qq_45301512的博客
12-19 361
因为要调试每一个漏洞需要花费大量的步骤,所以我这里只列出了触发点和触发语句,某些漏洞给出了poc链。
CVE-2020-15148--Yii2 反序列化漏洞复现
Monica的博客
09-26 1087
简介: YiiFramework是一个基于组件、用于开发大型Web应用的高性能 PHP 框架Yii提供了今日Web 2.0应用开发所需要的几乎一切功能。Yii是最有效率的PHP框架之一。 Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境部署: 下载地址: https://github.com/yiisoft/yii2/releases/tag/2.0.37 下载这个yii..
脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 9387
脚本攻击漏洞-基础篇
YII2框架学习 安全篇(一) XSS攻击和防范(上)
混血王子的博客
06-15 2471
在如今的web开发中,网络安全,信息安全应该是最重要的一环。常见的攻击主要有四类,XSS攻击、CSRF攻击、SQL注入和文件上传漏洞。在接下来的安全篇里,我会依次说明YII框架是如何应对这些攻击的。本篇要学习的就是XSS攻击和防范之存储。 XSS攻击的意思是脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包
YII2框架学习 安全篇(二) XSS攻击和防范(下)
混血王子的博客
06-19 2717
坚持写博客真不容易,618抢购中断了一波就不想写了。接着XSS攻击和防范(上)继续讲基于反射的XSS攻击。 1)非法转账(基于反射的XSS攻击) 上周说的yii框架会让浏览器自动过滤js代码是不太准确的,一般是把js代码重新编码并加双引号变成字符串了。 但是,要注意的一点是防止js代码越狱,脱离编码和双引号。类似于",alert(3)//" 这种。这种时候只要把双引号也重新编码就可以防止越狱
yii框架数据添加
05-26
使用Yii框架添加数据通常需要以下步骤: 1. 创建一个模型类,该类代表数据库中的一个表。 2. 在控制器中实例化模型类。 3. 使用模型类的方法来添加数据。 例如,假设我们有一个名为“user”的表,并且我们希望向...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值