【ci框架】谈CI框架的安全性

最新推荐文章于 2021-11-10 19:17:44 发布
最新推荐文章于 2021-11-10 19:17:44 发布
阅读量3.2k 收藏
点赞数
分类专栏: 【CodeIgniter深入研究】

用过ci框架的人都知道,ci框架能大大缩短你的代码。其实,ci框架更能提高你网站的安全性。


防止对数据库的攻击


  数据输入可能引发许多问题。因为 HTML 和数据库的限制,数据中总包含特定的符号—举例来说,省略符号和引号—可能导致你的数据库遭到攻击,最终得到你无法预料的结果。

解决方案是在把这些数据存入数据库前对这些数据进行相关处理。这样做会浪费一些系统时间,增加一些额外编码。

CI 的表单辅助函数会自动地完成这些工作。因此,当你编写一个输入框时:



PHP 代码 

echo form_input('username', 'johndoe');

CI 也隐式地执行下列校验函数:


PHP 代码 

function form_prep($str = '')
{
    if ($str === '')
    {
        return '';
    }
 
    $temp = '__TEMP_AMPERSANDS__';
 
    // Replace entities to temporary markers so that
    // htmlspecialchars won't mess them up
    $str = preg_replace("/&#(\d+);/", "$temp\\1;", $str);
    $str = preg_replace("/&(\w+);/", "$temp\\1;", $str);
 
    $str = htmlspecialchars($str);
 
    // In case htmlspecialchars misses these.
    $str = str_replace(array("'", '"'), array("'", """), $str);
 
    // Decode the temp markers back to entities
    $str = preg_replace("/$temp(\d+);/","&#\\1;",$str);
    $str = preg_replace("/$temp(\w+);/","&\\1;",$str);
 
    return $str;
}

上述函数捕获像“&”这样的特殊字符,以便在你的页面提交时不会造成混乱。你应该知道,有些字符会引起问题。

并不是所有的用户都会中规中矩的输入符合要求的信息,你也不可能知道使用浏览器输入信息的是什么人,他们在想什么,做什么。你可以使用 CI 来防止输入不符合要求的信息。当然,你大可不必知道 CI 是如何在幕后为你做到这一切的,你只需要简单地输入如下代码:



echo form_input('username', 'johndoe');
yanhui_wei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CI框架安全性分析
10-22
主要介绍了CI框架安全性,结合实例形式分析了CI框架字符过滤的相关技巧,需要的朋友可以参考下
php ci框架优缺点,CodeIgniter 框架的优缺点
weixin_29080843的博客
03-11 506
CodeIgniter 框架:1.免费,轻量级,容易安装,它能使你的编程生涯变得很轻松2.CI会减少你的代码量,这样你可以减少很多工作量:敲击键盘的次数减少了,代码错误减少了,你只需要很少的间调试代码。代码量减少还意味着你只需要较少的空间来存放应用程序。例子:写一个 MySQL 数据库查询。可能的代码如下:$connection = mysql_connect("localhost","fred...
php ci框架漏洞,CodeIgniter框架内核设计缺陷可能导致任意代码执行
weixin_29761519的博客
04-12 705
public function view($view, $vars = array(), $return = FALSE){return $this->_ci_load(array('_ci_view' => $view, '_ci_vars' => $this->_ci_object_to_array($vars), '_ci_return' => $return)...
CI框架的SQL注入隐患
热门推荐
Exploit的小站~
05-10 2万+
 0x00 在CI框架,获取get和post参数是使用了$this->input类的get和post方法。 其,如果get和post方法的第二个参数为true,则对输入的参数进行XSS过滤,注意只是XSS过滤,并不会对SQL注入进行有效的防范。 例子: Controller,定义一个shit方法,获取get数据: 指定了第二个参数为true: (1)XSS测试 ...
php 框架_简单理解 PHP 框架可能产生的安全问题
weixin_39771775的博客
11-25 168
前几天看到某大牛对 PbootCMS 的代码审计,突然明白了底层逻辑对 cms 审计的重要性开发者自写的框架的审计一般是框架实现->调用地点, simple-framework 是一个简单的框架实现, 如果仅关注框架实现,它是一个很好的选择.,本文以 simple-framework 和 thinphp 为例,重点关注框架的底层实现可能产生的问题0X01 框架简介现在的 php ...
CodeIgniter及Yii 漏洞合集
小小猪的博客
08-19 4565
CodeIgniter漏洞 CodeIgniter 反序列化漏洞 一、任意文件读取 需要用到的rogue_mysql_server.py脚本GitHub:https://github.com/Gifts/Rogue-MySql-Server 配置POC文件 配置恶意Mysql主机IP(攻击者外网IP): 配置py脚本 配置完毕后攻击机上运行py脚本 生成payload 攻击受害机的反序例化点 读取到C:/Windows/win.ini的内容 CodeIg...
CI框架源码阅读,系统常量文件constants.php的配置
01-20
配置系统常量 1、当文件系统工作的候检查并配置这些首选项文件系统运行的候这些默认的值会适当的增加系统的安全性,但是在php或apache的底层单独的为每各用户开一个进程的候,使用八进制的值永远是正确的FILE_...
php(codeigniter)安全性注意事项
12-20
要用框架ci_session,更长的位数,httponly,这些默认都配好了。 不要用原生的phpsession,而要用ci_session。ci_session位数更长。 如果要用原生的session,应该这样设置(php.ini): session.sid_length //sid...
DevSecOps  安全软件
04-20
DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法,同涉及自动化安全检查,以免减慢当前的 DevOps 流程。为了满足安全目标,安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的...
CI框架浅析(全篇)
小小情意的博客
05-24 1925
使用CI框架开发了一段间,发现它容易上手,使用起来也方便,最重要是很轻便,这引起我的兴趣去分析该框架的设计。这是国外开源的项目,有一段间特别的火,下面让我们来看看呗。
CI(CodeIgniter)框架URL特殊字符处理与SQL注入隐患分析
10-17
主要介绍了CI(CodeIgniter)框架URL特殊字符处理与SQL注入隐患,结合实例形式分析了CodeIgniter框架针对特殊字符的过滤及SQL注入隐患的相关原理,需要的朋友可以参考下
CI框架全局防止SQL注入(防止XSS攻击)的方法
snow_finland的专栏
02-10 8792
防止xss攻击 对于全局的POST,GET,COOKIE进行过滤 config.php文件 $config['global_xss_filtering'] = TRUE;
PHP四大主流框架的优缺点总结
wephper
07-16 1万+
本篇文章我们来讲讲PHP四大框架的优缺点都有哪些,让你们在开发更好的去选择使用哪款PHP框架去完成项目,废话不多说,我们一起来看看吧!!   ThinkPHP ThinkPHP(FCS)是一个轻量级的框架,是从Java的Struts结构移植过来的文PHP开发框架。它使用面向对象的开发结构和MVC模式,并且模拟实现了Struts的标签库,各方面都比较人性化,熟悉J2EE的开发人员相对比...
php(codeigniter)安全性注意事项
壁立千仞无欲则刚的博客
02-12 1415
1、httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id,不要用原生的phpsession,而要用ci_session。 2、phpinfo 一定要关闭phpinfo页面,dump的请求信息可能会被攻击者利用。比如cookie信息。 3、全站https 4、secure cookie
CI安全
weixin_30493321的博客
09-07 76
URI安全,CodeIgniter 严格限制 URI 所能包含的字符,以此帮助你设计的程序减少被恶意数据入侵的可能。URI 一般只包含下列内容: 字母和数字(Alpha-numeric text) 波浪符(Tilde): ~ 句号(Period): . 冒号(Colon): : 下划线(Underscore): _ 破折号(Dash): - 系统初始化期间...
CodeIgniter4.x反序列化漏洞
小小猪的博客
11-10 2795
CodeIgniter4.x反序列化漏洞 CodeIgniter介绍: CodeIgniter 是一个为用 PHP 编写网络应用程序的人员提供的工具包。它的目标是实现让你比从零开始编写代码更快速地开发项目,为此,CI 提供了一套丰富的类库来满足通常的任务需求,并且提供了一个简单的接口和逻辑结构来调用这些库。CodeIgniter 可以将需要完成的任务代码量最小化,这样你就可以把更多的精力放到项目的开发上了。 漏洞介绍: 因部分函数过滤不合理,联合导致漏洞形成。CI框架建立于PHP>=7.2版本
php框架安全性,CI框架安全性分析
weixin_36277197的博客
03-10 115
本文分析了CI框架安全性。分享给大家供大家参考,具体如下:用过ci框架的人都知道,ci框架能大大缩短你的代码。其实,ci框架更能提高你网站的安全性。防止对数据库的攻击数据输入可能引发许多问题。因为 HTML 和数据库的限制,数据总包含特定的符号—举例来说,省略符号和引号—可能导致你的数据库遭到攻击,最终得到你无法预料的结果。解决方案是在把这些数据存入数据库前对这些数据进行相关处理。这样做会浪费...
微信支付v3 ci框架
最新发布
06-14
微信支付v3 ci框架是一种快捷方便的支付框架,它使得我们可以在应用程序直接使用微信支付功能,而无需经过繁琐的支付过程。该框架具有多种优点,例如它能为用户提供完全的控制权限,保证数据的安全性和准确性。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值