Yii安全依赖正确使用:CSRF需前端渲染Token,XSS需区分encode与HtmlPurifier调用顺序,SQL注入由预处理免疫,cookieValidationKey必须安全配置。
Yii 的安全机制本身很扎实,但“强不强”最终取决于你怎么用——框架提供了全套工具,但漏掉一个 Html::encode() 或配错 cookieValidationKey,就可能让防护形同虚设。
CSRF 令牌默认开启,但表单里忘加 yii\helpers\Html::csrfMetaTags() 就白搭
Yii 在 request 组件中默认启用 enableCsrfValidation = true,所有 POST 表单提交都会校验 CSRF Token。但前提是:前端必须正确渲染 Token。
- 控制器或视图中没调用
Html::csrfMetaTags()或Html::hiddenInput('_csrf', Yii::$app->request->csrfToken)→ 表单提交直接 400 错误 - AJAX 请求未从
读取并带入请求头 → 前端报 403,后端日志显示 “Missing required CSRF token” - 在 API 场景下(如前后端分离),
enableCsrfValidation应设为false,改用 OAuth 或 Bearer Token 鉴权,否则每次请求都得手动传 Token
use yii\helpers\Html;// 视图中必须包含这一行(通常放在
)// 或手动插入隐藏字段(用于纯表单) request->csrfToken) ?>
XSS 防护靠两层:输出转义 + 富文本净化,混用会失效
Yii 不会自动过滤所有输入,它只保证「输出时安全」。你把恶意脚本存进数据库没问题,但渲染前必须处理。
- 普通变量输出一律用
Html::encode($userInput)—— 它把变成zuojiankuohaophpcn,彻底阻断脚本执行 - 允许用户发带格式的评论/文章?不能只靠
Html::encode,得用HtmlPurifier白名单过滤:、onerror、javascript:等全被干掉 - 常见错误:先
Html::encode再丢给HtmlPurifier→ 二次编码导致页面显示zuojiankuohaophpcnstrongyoujiankuohaophpcnHellozuojiankuohaophpcn/strongyoujiankuohaophpcn
use yii\helpers\Html; use yii\bootstrap\HtmlPurifier;// ✅ 正确:富文本走 purifier,纯文本走 encode echo Html::encode($plainText); echo HtmlPurifier::process($htmlContent);
// ❌ 错误:不要 encode 后再 purify echo HtmlPurifier::process(Html::encode($htmlContent));
SQL 注入几乎不可能发生——只要你不用字符串拼接写查询
ActiveRecord 和 Query Builder 全部基于 PDO 预处理,参数和 SQL 语句物理隔离。哪怕用户输入 admin' OR '1'='1,也不会改变查询逻辑。
- 危险写法(绝对禁止):
"SELECT * FROM user WHERE name = '" . $_GET['name'] . "'"—— Yii 拦不住,PHP 层就已注入 - 安全写法(推荐):
User::find()->where(['name' => $name])->one()或(new Query())->select('*')->from('user')->where('name = :name', [':name' => $name]) - 原生 SQL 必须用命名占位符:
createCommand("UPDATE user SET status = :status WHERE id = :id"),别用问号占位符(易错位)
Cookie 和会话安全,cookieValidationKey 是命门
Yii 用 cookieValidationKey 对 Cookie 做签名,防止篡改 session ID 或 flash 消息。这个密钥一旦为空或泄露,攻击者可伪造任意 Cookie。
-
web.php中必须显式配置:'cookieValidationKey' => '随机32位以上字符串'(别用默认值或写死在代码里) - 生产环境务必设置
'httpOnly' => true和'secure' => true(仅 HTTPS 传输) - 忘记设
httpOnly→ XSS 成功后,document.cookie可直接读取 session ID
// config/web.php
'request' => [
'cookieValidationKey' => getenv('COOKIE_KEY') ?: 'a_very_long_random_string_here',
],
'user' => [
'identityClass' => 'app\models\User',
'enableAutoLogin' => true,
'identityCookie' => [
'httpOnly' => true,
'secure' => YII_ENV_PROD,
],
],真正容易被忽略的,是那些“框架帮你做了,所以你忘了自己还得做”的环节:比如富文本场景下 Purifier 和 encode 的调用顺序、API 接口该不该关 CSRF、cookieValidationKey 是否随部署自动轮换。安全不是开关,是每个数据流向的确认。
