和定时任务没关系，手动执行你这个php，肯定 也是会报 相同的错误的
把你的代码中

$ch = curl_init($url);

改成这样，就 不报这个错了

$ch = \curl_init($url);

\ 表示这个方法 在根命名空间下

当然 还有一种可能就是 你的 php 环境中 并没有 curl 这个扩展（好像这个可能性 更大一些）

事实上，很多网上银行 很早就都是 全站 https 了，但是 登录页的密码 仍然会采用安全控件的方式。因为 他们防范的危险 是不同的。

https 解决的是 传输的问题，就题主本身 防止抓包 的需求而言，https 是可以在 一定程度上 解决问题的
浏览器控件 解决的是 客户端环境的问题，一个简单的例子，客户端如果运行有 键盘记录器，那么 https 就一点作用都没有了，而安全控件是可以对此 进行防范的。

当然，以上所言 有些 跑题，题主问的是 防止抓包
但，https的答案 也可以说 有些跑题，因为 题主问的是 密码的预处理

load 并不会做输入验证，load 完后 $model->validate() 才会执行 你贴的 这些预处理操作

补充一句：我这都是 很多年以前的认知了，不知道这么多年以来，chrome 有没有推出什么 新的技术，或者 H5下有没有什么 新的 实现方案，还望 对此有了解的大佬 不吝指教

这个当然是 可以的

简单的考虑，用 javascript 对密码做一些预处理就可以了，像什么 md5 sha1 之类的 都有开源的js库，当然也可以自己实现 一种加密算法，不过，因为 js代码都是需要下载到本地浏览器运行的，所以 不论你用 js 做什么手脚，即便你可以 对代码 做一些 混淆处理，只要我愿意 并且 有足够的时间 和 耐心，都是可以 读懂你的 js代码，知道你到底对 密码 做了什么处理的。 所以，这种方式 可以说是一种 中看不中用的 花拳绣腿 而已。

安全的方式 当然也有，对 IE 来说，可以使用 ActiveX 控件，对某个版本之前的 chrome 来说，可以使用 npapi插件，这两种方式 比 js 的方案都 安全很多，因为 看不到 源代码了。不过 遗憾的是：某个版本之后 chrome 取消了 对 npapi插件的支持，所以 这么多年以来 很多的 网上银行 都是只支持 IE 登录的，原因就是 chrome 下没有一种安全的 客户端密码加密方案。

这个答案 错的 比较离谱
com 组件 是微软开发的一种模块重用机制，以前写过 asp 或者 vb 的程序员 对此会 比较有体会
php 的 com 扩展 可以让 php 调用这些 com 组件，这些 com 组件可以做 各种各样的事情，操作处理 office 文件 只是其中几个com组件 所做的事 而已

对于非常简单的后台，在 basic 中用一个 Controller 实现 就可以了
稍微复杂一点的后台，在 basic 中可以用一个 module 实现
更复杂的后台，还是用 advanced 模板来实现 比较好

复制自 权威指南：

对于运行在生产模式的 Web 应用程序，通常会为资源包和其他静态资源开启 HTTP 缓存。 但这种做法有个不好的地方就是，当你更新某个资源并部署到生产环境时， 客户端可能由于 HTTP 缓存而仍然使用旧版本的资源。 为了克服该不足，你可以试试清除缓存特性，它由 2.0.3 版本引入，只需如下配置 yii\web\AssetManager 即可：

return [
    // ...
    'components' => [
        'assetManager' => [
            'appendTimestamp' => true,
        ],
    ],
];

通过上述配置后，每个已发布资源的 URL 都会附加一个最后更新时间戳的信息。 比如，yii.js 的 URL 可能是 /assets/5515a87c/yii.js?v=1423448645"， 这里的参数 v 表示 yii.js 文件的最后更新时间戳。 现在一旦你更新了某个资源，它的 URL 也会改变进而强制客户端获取该资源的最新版本。