之前已经写过Yii下防守CSRF与XSS[一] 但是真正面临测试的时候，有一个需求是说希望过滤掉特殊的字符，比如:,;”<>%等。 Yii中的CHtml::purifier实际上只针对html的过滤，CHtml::encode本质上调用的是htmlspecialchars。 – htmlspecialchars只转化<、>、 单引号、双引号、&符号 – htmlentities……

CSRF即跨站伪造请求，XSS即跨站脚本攻击，说实话我也是最近才第一次接触。 编写了一个Yii的网站，用测试软件（比如，IBM APP Scan）扫描之后发现比较多以及比较严重的两个问题，一个是CSRF，另一个是XSS。 那么如何解决呢？ – CSRF 参考链接：http://www.crarun.com/article-7.html Yii在配置文件中，支持csrf配置……