[Yii]Yii下防守CSRF与XSS[二]

Tue, 21 Jul 2015 16:04:21 +0000

之前已经写过Yii下防守CSRF与XSS[一] 但是真正面临测试的时候，有一个需求是说希望过滤掉特殊的字符，比如:,:,”,<,>,%等。

Yii中的CHtml::purifier实际上只针对html的过滤，CHtml::encode本质上调用的是htmlspecialchars：

htmlspecialchars只转化<、>、单引号、双引号、&符号
htmlentities会转化所有的html符号

可以看到PHP内置的函数都不能过滤全部的特殊字符，此时采用的方式是在Yii框架下，新建一个Filter类，自己重写specialchar函数，可以随心所欲的替换字符。为了提高性能，可以定义成public static调用。

1
2
3
4
5
6
7


class Filter {
 public static function ReplaceSpecialChar($str) {
 $str=str_replace(":",$str); //TODO: replace other chars
 $str = htmlspecialchars($str);
 return $str;
 }
}

[Redis]Yii配置Redis相关问题

Fri, 12 Jun 2015 06:24:58 +0000

基本配置操作：

yii main.php中：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


return array(
 ...
 'components'=>array(
 'redis_cache' => array (
 'class' => 'system.caching.CRedisCache',
 'hostname' =>'127.0.0.1',
 'port' => 6379,
 'password'=>'123456',
 'database'=>1
 ),
 ),
 ...
)

其中：
class中的CRedisCache是Redis的官方插件；
如果设置了密码需要password项；
database制定对应的数据库

调用操作：
$r_key = “key”;
Yii::app()->redis_cache->set($r_key, 99999);
echo Yii::app()->redis_cache->get($r_key);

但是在Redis数据库中并未发现名为“key”的键值，是因为yii的redis插件默认对key会进行md5加密。
通过查看CRedisCahce的父类CCache可以知道在CRedisCache.php中需要声明以下两个变量：

1
2


public $hashKey = false;
public $keyPrefix = "";

即可解决问题。

另外，如果遇到中文乱码不能查看的问题，是因为Redis数据库默认ANSIC编码，输入命令是请使用：
./redis-cli –raw -h 127.0.0.1
连接即可。

官方文档请查看：http://www.yiiframework.com/doc/api/1.1/CRedisCache/。

Yii on Coinidea的博客

[Yii]Yii下防守CSRF与XSS[二]

[Redis]Yii配置Redis相关问题