Yii框架安全特性

最新推荐文章于 2018-06-28 15:22:51 发布
最新推荐文章于 2018-06-28 15:22:51 发布
阅读量1.8k 收藏 2
点赞数
文章标签: yii 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baidu_zhongce/article/details/50394178
版权

最近因为需要将平台对外,需要考虑到安全性问题,于是又去研究了下关于Yii框架的安全特性。

Yii框架的安全特性主要体现在这几个方面:

  1. SQL注入的防范措施
  2. XSS的防范措施
  3. CSRF的防范措施
  4. COOKIE验证机制
  5. 访问控制过滤器
  6. magic_quotes_gpc的判断

SQL注入的防范措施

DB库提供了类似PDO库的绑定参数的函数bindParambindValue(函数原型都在CdbCommand.php)。调用CDbCommand::bindParam()CDbCommand::bindValue()以使用实际参数替换这些占位符。参数绑定必须在SQL语句执行之前完成。bindParam()bindValue()非常相似。唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。对于那些内存中的大数据块参数,处于性能的考虑,实际应用中通常会优先使用前者。

因此在对外上线前,审阅代码时,凡是遇到代码中使用了DB库的参数绑定函数bindParambindValue进行参数绑定的变量,都可以认为的安全的,不存在SQL注入漏洞,反之则可能存在,需要修改。

XSS的防范措施

本来为了防范XSS,特地去下载了HTMLPurifier放到代码中,对答题指南、题型设计等信息都进行白名单功能过滤恶意代码。

后来发现Yii本身就集成了HTMLPurifier,并且为开发者提供了一个很有用的组件CHtmlPurifier,这个组件封装了HTMLPurifier。它可以将通过彻底的检查、安全和白名单功能来把所审核的内容中的所有的恶意代码清除掉,并且确保过滤之后的内容过滤符合标准。

CHtmlPurifier组件可以作为一个widget或者filter来使用。当作为一个widget来使用的时候,CHtmlPurifier可以对在视图中显示的内容进行安全过滤。

CSRF防范措施

要防范CSRF攻击,必须遵守这样的规则:

  • GET请求只允许检索数据而不能修改服务器上的任何数据。
  • POST请求应当含有一些可以被服务器识别的随机数值,用来保证表单数据的来源和运行结果发送的去向是相同的。

因此需要注意代码中是否使用$_REQUEST来获取表单提交的数据,(这将允许以GET请求替代POST请求),并且没有带上随机token。这样会产生CSRF漏洞。

Yii实现了一个CSRF防范机制,用来帮助防范基于POST的攻击。这个机制的核心就是在cookie中设定一个随机数据,然后把它同表单提交的POST数据中的相应值进行比较。

默认情况下,CSRF防范是禁用的。如果你要启用它,在应用配置中设置组件CHttpRequest,如下代码示例:

return array(
    'components'=>array(
        'request'=>array(
            'enableCsrfValidation'=>true,
        ),
    ),
);

COOKIE验证机制

Yii实现了一个cookie验证机制,可以防止cookie被修改。启用之后可以对cookie的值进行HMAC检查。Cookie验证在默认情况下是禁用的。如果要启用它,可以编辑应用配置中的组件中的CHttpRequest部分。

return array(
    'components'=>array(
        'request'=>array(
            'enableCookieValidation'=>true,
        ),
    ),
);

需要注意,这里一定要使用 Yii 提供的 cookie验证方案,也需要使用Yii内置的cookies集合来访问cookie,不可以直接使用$_COOKIES。否则此机制将不会起作用。

// 检索一个名为$name的cookie值
$cookie = Yii::app()->request->cookiees[$name];
$value = $cookie->value;
...

// 设置一个cookie
$cookie = new CHttpCookie($name, $value);
Yii::app()->request->cookies[$name] = $cookie;

访问控制过滤器

访问控制过滤器是检查当前用户是否能执行访问的controller的action的初步授权模式。这种授权模式基于用户名,客户IP地址和访问类型。

在控制器(controller)里重载CController::filters方法设置访问过滤器来控制访问动作。

magic_quotes_gpc的判断

CHttpRequest类是HTTP库中的一个重要功能类,其中的
normalizeRequest函数会判断magic_quotes_gpc是否开启,如果开启则使用stripSlashes函数把$_GET$_POST$_REQUEST$_COOKIE请求中被转义的部分取消转义。

代码原型如下:

if (function_exists('get_magic_quotes_gpc') && get_magic_quotes_gpc()) {
    if(isset($_GET))
        $_GET=$this->stripSlashes($_GET);
    if(isset($_POST))
        $_POST=$this->stripSlashes($_POST);
    if(isset($_REQUEST))
        $_REQUEST=$this->stripSlashes($_REQUEST);
    if(isset($_COOKIE))
        $_COOKIE=$this->stripSlashes($_COOKIE);
}

总结

Yii框架本身就提供了一些安全特性,我们应当在写代码时就注意规范,例如杜绝用户输入直接写入sql语句中,那么Yii框架就可以帮我们解决一些安全问题了。

百度众测
关注
PHP框架 yii1.1 性能为 yii2的四倍
paleapple2的博客
04-10 696
实验环境:笔记本,i7-7200u, 内存16G, SSD PHP环境:PHP7.2 压力测试工具:apache ab, 并发50,请求数500 测试结果: 1. 渲染简单视图情况下(yii2去除accessfilter,渲染默认首页,yii1.1为跑自带的hangman项目首页): yii2:RPS为25 yii1:RPS为90 2. 渲染简单视图,开启opcache...
PHP的Yii框架入门使用教程
12-18
Yii框架提供了丰富的特性,例如Gii,这是一个强大的Web-based代码生成器,可以帮助开发者快速生成常见的CRUD操作或其他自定义代码,极大地提高了开发效率。 在创建的应用中,`SiteController.php`是默认控制器,`...
Yii框架特点及测试考虑
weixin_33698823的博客
08-13 173
1. 简介 Yii 是一个基于部件、用于开发大型 Web 应用的高性能 PHP 框架。它将 Web 编程中的可重用性发挥到极致,能够显著加速开发进程。Yii(读作“易”)代表简单(easy)、高效(efficient)、可扩展 (extensible)。它是轻量级的,又装配了很好很强大的缓存部件,因此尤其适合开发大流量的应用,比如门户、论坛、内容管理系统(CMS)、电子...
【分享】高性能的PHP框架Yii PHP Framework
热门推荐
heiyeluren的blog(黑夜路人的开源世界)
03-17 1万+
Yii 是什么Yii 是一个基于组件、用于开发大型 Web 应用的高性能 PHP 框架。它将 Web 编程中的可重用性发挥到极致,能够显著加速开发进程。Yii(读作“易”)代表简单(easy)、高效(efficient)、可扩展(extensible)。需求要运行一个基于 Yii 开发的 Web 应用,你需要一个支持 PHP 5.1.0 (或更高版本)的 Web 服务器。对于想使用
yii框架的特点
flower1q84的博客
02-09 708
1.直接使用crud生成,然后根据自己需要的功能修改下就ok2.两个表关联模型,当数据表设置了外键之后,yii2在生成model时候,自动会添加关联关系3.比如你要添加产品的同时,还需要添加多个图片到产品图片数据表这个在yii2非常简单,你只需要处理下post数据就ok4.使用下yii一个arrelation扩展,就可以在执行$product->save()方法时候,自动添加productI...
YII框架的完整特性列表
Feebas
11-17 1203
http://1.feebas.sinaapp.com/yii/65.html
Yii框架参数化查询中IN查询只能查询一个的解决方法
10-19
Yii框架作为一款流行的PHP Web应用开发框架,提供了很多方便快捷的开发特性。其中,参数化查询是其内置的数据库抽象层功能之一,它可以帮助开发人员构建安全且可重用的数据库查询。在使用Yii框架进行数据库查询时,...
PHP的Yii框架中过滤器相关的使用总结
12-19
过滤器的这种特性使得在Yii框架中实现诸如访问控制、日志记录等功能变得非常便捷。过滤器可以阻止动作的执行,也可以根据需要执行其他操作,如跳转、显示错误消息等。通过灵活配置过滤器,开发者能够构建更安全、更...
YII框架入门
08-15
**YII框架入门** Yii框架是一款高性能的PHP框架,用于快速开发Web应用程序。它具有丰富的特性,包括MVC(模型-视图-控制器)架构、AR(Active Record)对象关系映射、DAO(数据访问对象)数据库访问层,以及强大的...
Yii框架详解
09-20
三、安全特性 Yii框架提供了全面的安全防护措施,包括防止SQL注入、跨站脚本(XSS)攻击、跨站请求伪造(CSRF)登录认证等。它还支持基于角色的访问控制(RBAC),帮助开发者轻松管理用户权限。 四、MVC架构 Yii...
消息缓冲通信机制
06-14
模拟两个进程间带有缓冲序列的通信机制,可实现进程间的消息发送、查看进程消息状态、查看进程的缓冲序列的消息状态
Yii框架开发安全考虑
Feebas
12-14 2365
这篇文章是作为补充Yii框架开发安全考虑,因为Yii教程里几经含有了开发过程中需要考虑的安全教程。 但是基于那个教程里没有提到所有常见的web攻击,所以在这里补充两个最常见的web攻击: SQL注入式Magic URL. SQL注入式 SQL注入式是一种最常见并且最容易实现的一个web应用的攻击,这个攻击已经在最近的几年内上升为第一个web开发的安全问题。这种攻击发生于当你(开发者)获取用户
Yii框架安全笔记
liuzp111的专栏
11-21 2783
XSS攻击认识XSSXSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS攻击类似于SQL
yii特性
dreampp的专栏
02-25 890
yii具有很多当今web2.0开发所需要的特性。下边是一个简短列表。http://www.dreaminto.com/bbs/viewthread.php?tid=210MVC设计模式 :yii在WEB设计中采用经过验证的技术,可以较好的把显示与逻辑分离。DAO,活动记录:yii充许在对象方面建立数据库模型,保存长而重复语句。整合jquery:最流行的javascript框架之一,
yii 安全问题
Terry - 专注外贸B2C
02-21 688
1. 对于传入的参数值,进行过滤,譬如分页,排序等,如果传入的参数,有一个参数不在约定的数组,则报错, 对于有一些值,譬如一个页的个数,这些也需要做限制,如果不在这个个数数组中,则报错 譬如: $sortBy = $_GET['sort']; if (!in_array($sortBy, ['title', 'created_at', 'status'])) { throw new Ex
yii中的安全处理
weixin_30332241的博客
04-26 64
yii中的安全处理 一、对于传递给函数的参数需要判断,初始化类型:public function setGCProbability($value){ $value=(int)$value; //先初始化这个变量值为数字,无论他是否是数字 if($value<0) $value=0; if($value&gt...
Yii框架的优点
flower1q84的博客
02-07 5408
1. 易于安装 对于web开发人员来说,时间就是金钱,没有人愿意把宝贵的时间花在一个复杂的安装配置过程。 安装处理使用Composer。如果你想要描述安装的过程,Sitepoint最近发表了一篇很棒的文章,在这儿。我倾向于使用基本的应用程序模板,即使我的网站有一个单独的前端后端组件。相反,我选择使用一个模块给我的网站的后台部分。(Yii模块是最好的描述,小应用驻留在主应用程序里面)。 注
Yii框架数据传输的安全性问题(例如跨站脚本攻击)
一花一世界
06-28 420
我们知道可以通过renderPartial将数据传递给前端进行显示,但有时候难免传递的数据是获取用户的数据,要知道作为程序员是永远都不要相信用户输入的。 比如下面的代码就会出现问题 public function actionSay(){ //第一步,创建一个数组 $arr = array(); //第二步,将数据放入数组中 ...
PHP YII框架开发安全基本准则
RAHCkfJHGiJ4
04-21 500
基本准则 无论是开发何种应用程序,我们都有两条基本的安全准则: 过滤输入转义输出 过滤输入 过滤输入的意思是,用户输入不应该认为是安全的,你需要总是验证你获得的输入值是在允许范围内。 比如,我们假设 sorting 只能指定为 title, created_at  status 三个值,然后,这个值是由用户输入提供的, 那么,最好在我们接收参数的时候,检查一下这个值是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值