[Yii]Yii下防守CSRF与XSS[二]

Tue, 21 Jul 2015 16:04:21 +0000

之前已经写过Yii下防守CSRF与XSS[一] 但是真正面临测试的时候，有一个需求是说希望过滤掉特殊的字符，比如:,:,”,<,>,%等。

Yii中的CHtml::purifier实际上只针对html的过滤，CHtml::encode本质上调用的是htmlspecialchars：

htmlspecialchars只转化<、>、单引号、双引号、&符号
htmlentities会转化所有的html符号

可以看到PHP内置的函数都不能过滤全部的特殊字符，此时采用的方式是在Yii框架下，新建一个Filter类，自己重写specialchar函数，可以随心所欲的替换字符。为了提高性能，可以定义成public static调用。

1
2
3
4
5
6
7


class Filter {
 public static function ReplaceSpecialChar($str) {
 $str=str_replace(":",$str); //TODO: replace other chars
 $str = htmlspecialchars($str);
 return $str;
 }
}

CSRF on Coinidea的博客

[Yii]Yii下防守CSRF与XSS[二]