CodeIgniter过滤HTML危险代码

最新推荐文章于 2024-03-20 16:42:51 发布
最新推荐文章于 2024-03-20 16:42:51 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: php/codeigniter

CodeIgniter过滤HTML危险代码的方法其实有好几种:

1.可以选择使用htmlspecialchars()方法过滤。

2.可以将config文件夹下面的config.php文件中的$config['global_xss_filtering'] = FALSE;设置为:$config['global_xss_filtering'] = true;但是这样设置后会加大服务器的开销的。所以看情况来设置。

3.可以在$this->input->post('content')这样的post里面的第二个参数设置为true:$this->input->post('content',true);

CodeIgniter 包含了跨站脚本攻击的防御机制,它可以自动地对所有POST以及COOKIE数据进行过滤,或者您也可以针对单个项目来运行它。默认情况下,它 不会 全局运行,因为这样也需要一些执行开销,况且您也不一定在所有情况下都用得到它.

XSS过滤器会查找那些常被用来触发JavaScript或者其他类型的企图劫持cookie或进行其它恶意行为的代码. 如果发现任何不允许的内容,它将把那些内容转换为字符实体,以确保安全.

注意: 此函数只应该用来处理那些提交过来的数据. 它不适合在常规运行时使用,因为它执行时的开销也是不容忽视的.

要使用XSS过滤器对数据进行过滤,请使用此函数:

$this->security->xss_clean()

下面是一个使用实例:

$data = $this->security->xss_clean($data);

如果你希望过滤器能自动过滤所有被访问到的POST或者COOKIE数据,请打开你的 application/config/config.php 文件,进行如下设置即可启用自动过滤:

$config['global_xss_filtering'] = TRUE;

说明: 如果你使用表单验证类,同样也有XSS过滤的选项.

例如

$post_site_data = array(
                	'add_new' => trim($this->input->post("add_new")),
					'site_url' => trim($this->input->post("site_url")),
					'site_name' => trim($this->input->post("site_name")),
					'site_type' => trim($this->input->post("site_type")),
					'web_struct' => trim($this->input->post("web_struct")),
					'site_struct1' => trim($this->input->post("site_struct1")),
					'site_struct2' => trim($this->input->post("site_struct2")),
					'site_targets' => trim($this->input->post("site_targets")),
					'site_code' => trim($this->input->post("site_code"))
				);

这是post的数据,可以专门写个函数,先转义html,然后过滤xss


jazwoo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CodeIgniter框架过滤HTML危险代码
10-25
CodeIgniter通过内置的安全特性,为开发者提供过滤HTML危险代码的能力,以增强应用的安全性。 1. 使用htmlspecialchars()方法过滤htmlspecialchars()是PHP中的一个内置函数,用于将特殊字符转换为HTML实体。例如...
ref:CodeIgniter框架内核设计缺陷可能导致任意代码执行
weixin_30644369的博客
06-26 385
ref:https://www.seebug.org/vuldb/ssvid-96217 简要描述: 为准备乌云深圳沙龙,准备几个0day做案例。 官方承认这个问题,说明会发布补丁,但不愿承认这是个『漏洞』……不过也无所谓,反正是不是都没美刀~ 详细说明: CI在加载模板的时候,会调用 $this->load->view('template_name', $data)...
Day62:WEB攻防-PHP反序列化&CLI框架类&PHPGGC生成器&TP&Yii&Laravel等利用
最新发布
qq_61553520的博客
03-20 807
小迪安全-Day62:WEB攻防-PHP反序列化&CLI框架类&PHPGGC生成器&TP&Yii&Laravel等利用
XDCTF2015代码审计全解
weixin_30609331的博客
05-28 246
此次CTF WEB2是一个大题,一共4个flag,分别代表:获取源码、拿下前台管理、拿下后台、getshell。 目标站:http://xdsec-cms-12023458.xdctf.win/ 根据提示: 0×01 获取源码 “时雨的十一 时雨是某校一名学生,平日钟爱php开发。 十一七天,全国人民都在水深火热地准备朋友圈杯旅游摄影大赛,而苦逼的时雨却只能在宿舍给某邪恶组织开发CMS—...
CodeIgniter4.x反序列化漏洞
小小猪的博客
11-10 2982
CodeIgniter4.x反序列化漏洞 CodeIgniter介绍: CodeIgniter 是一个为用 PHP 编写网络应用程序的人员提供的工具包。它的目标是实现让你比从零开始编写代码更快速地开发项目,为此,CI 提供了一套丰富的类库来满足通常的任务需求,并且提供了一个简单的接口和逻辑结构来调用这些库。CodeIgniter 可以将需要完成的任务代码量最小化,这样你就可以把更多的精力放到项目的开发上了。 漏洞介绍: 因部分函数过滤不合理,联合导致漏洞形成。CI框架建立于PHP>=7.2版本
ctf不允许上传该类型php,d3ctf easyweb题解
weixin_42474164的博客
04-01 502
前言这道题思路其实就是,如果在php中遇到了模版注入,但是限制了不允许执行php代码的时候,怎么通过模版注入达到RCE的效果考点预期:二次注入模版注入phar反序列化CI RCE POP链挖掘非预期:二次注入模版注入SSTI沙箱逃逸二次注入image.png可以看到,在get_view的时候,通过session中的userid从数据库中取出了用户的username,之后对username进行了两次...
php代码-12312312312
07-16
可以使用预处理语句、过滤用户输入、禁用危险函数等方式增强安全性。 13. **性能优化**:使用缓存技术(如APC, Memcached, Redis),代码优化,以及合适的服务器配置都可以提升PHP应用的性能。 尽管压缩包中的`...
CodeIgniter删除和设置Cookie的方法
12-18
- **CodeIgniter框架过滤HTML危险代码**:讲解如何在CodeIgniter中使用内置的库和助手函数来过滤和清理用户输入,防止XSS攻击。 - **Codeigniter实现处理用户登录验证后的URL跳转**:介绍了在用户成功登录后,如何...
CodeIgniter针对lighttpd服务器URL重写的方法
12-17
此外,为了增强应用程序的安全性,开发者还应该关注CodeIgniter的安全特性,如输入验证、防止SQL注入、过滤危险HTML代码以及合理设置Cookie。 总之,通过理解并正确配置lighttpd或Apache的URL重写规则,我们可以...
10.8CTFHubPHPINFO
cisansui的博客
10-08 262
打开题目,一个一个查找可得flag 相关知识:PHPINFO PHP中提供了PHPInfo()函数,该函数返回 PHP 的所有信息,包括了 PHP 的编译选项及扩充配置、PHP 版本、服务器信息及环境变量、PHP 环境变量、操作系统版本信息、路径及环境变量配置、HTTP 标头、及版权宣告等信息。PHPInfo()函数主要用于网站建设过程中测试搭建的PHP环境是否正确,很多网站在测试完毕后并没有及时删除,因此当访问这些测试页面时,会输出服务器的关键信息,这些信息的泄露将导致服务器被渗透的风险。 相关详细介绍
CI框架学习笔记第一天
热门推荐
伟仔的小天地
04-30 1万+
此文章为自己书写,在Word上做的笔记,然后拷贝到这上边的,无任何抄袭。另外若是程序有任何问题可以评论,也可私信我。 若是想看整个学习笔记代码和数据库可点击此处(包含个人书写的项目代码及数据库文件)。学习目标使用CI框架开发商城(前台和后台)。 CI简单介绍小巧,快速。 相对于学习其他框架,更容易掌握。 CI快速入门获取与安装: 在官网下载:http://codeigniter.org
超级小白,几道简单的ctf
cried_cat的博客
05-11 5552
转]汉字 ASCII码 由浏览器的实现url编码实现 (2012-08-16 11:14:56)转载▼标签: 杂谈 用alt+数字能打出一个字或一个字符,这个数字就是ascii码。 ascii码可以根据http编码算出,比如说我要查“我爱你”这三个字的ascii码,首先要知道他们的http编码,进入百度贴吧,输入“我爱你”, 点击搜索,地址栏会出现一串很长的地址,为了简化这个地址,点击左上角主题列...
纵横杯CTF部分WEB题解
ChenZIDu的博客
12-27 814
easyci 一道SQL注入题,大概思路:sql注入写入shell,读取flag文件。 sqlmap先读取"/etc/apache2/apache2.conf"内容。 sqlmap -u http://eci-2ze0xe7juyhmgubdhea1.cloudeci1.ichunqiu.com/public/index.php/home/login --data "username=admin&password=1" -p username --technique B --dbms mysql -
CTFHubCookie欺骗
cisansui的博客
09-28 762
Cookie欺骗 通过Burpsuite的监听抓包后修改admin的值返回请求数据包即可 (没弄明白为何在burpsuite修改了admin的值刷新了页面就成功了) 题目本身不难,有意思的是关于Cookie欺骗 其他的相关攻击方式好像还有SQL注入,XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等,日后有空一一了解 Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂
PHP htmlspecialchars() 函数
一直专注于互联网
04-27 211
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 <?php $str = "This is some <b>bold</b> text."; echo htmlspecialchars($str); ?>   htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。预定义的字符是:&...
php的CodeIgniter框架中如何过滤数据(将危险数据如html类型的数据过滤后提交到数据库)
gayayzy的专栏
02-10 1764
1.可以选择使用htmlspecialchars()方法过滤。 2.可以将config文件夹下面的config.php文件中的$config['global_xss_filtering'] = FALSE;设置为:$config['global_xss_filtering'] = true;但是这样设置后会加大服务器的开销的。所以看情况来设置。 3.可以在$this->input->post(
CodeIgniter 的数据安全过滤全解析
Just Code
12-12 386
由于对CI的SQL安全这些不放心,今天寡人啃了一下午的代码,算是对其机制比较了解了,为了让各位兄弟姐妹少走弯路,特将战果公布,希望大家喜欢。 1.无论如何在获取参数之时都建设将 xss过滤打开,比如 $this->input->get('username',true); 其中的true就代表打开了 xss 2.不要直接使用$_GET等类似方式获得数据,如果这样获取数据的话将不会...
CodeIgniter自动过滤非法字符Input.php
wl3115的专栏
04-14 1498
最近在用CodeIgniter_1.7.0框架开发程序,同时也用到了dhtmlxGrid。在使用dhtmlxGrid的Dataprocessor功能时需要用到变量!nativeeditor_status因为提交时ci会自动判断非法字符,所以当发现非法字符时,就会exit();终止执行具体位置在 CodeIgniter_1.7.0/system/libraries/Input.php 2
CodeIgniter框架深度解析与实战指南
第五章则关注视图和表单处理,包括创建HTML表单、验证用户输入等常见任务。 第六章涉及安全性和Session管理,CodeIgniter的Session类提供了强大的用户会话管理工具,确保网站的安全运行。第七章则讲解了如何创建和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值