下午好,
我对CodeIgniter的安全性有一些疑问,首先是:
我有一个控制器:news.php,其中有一个名为view的方法
例:
class News extends CI_Controller{
public function view( $id )
{
$this->load->model('news_model');
$this->news_model->get_by_id( $id );
// ...
}
}
这种工作形式安全吗?没有URL注入SQL的风险?考虑到这个页面被访问,所以mywebpage / news / number_id.过滤intval()或不必要的过程会很有趣吗?
我的第二个问题是:
默认情况下,CodeIgniter xss过滤器可以发布和获取,但未知的是通过CodeIgniter过滤HTML的方法,我在CodeIgniter中创建了一个帮助器,有一些类似于本机CodeIgniter的方法吗?
function remove_xss_html($string){
if( is_array( $string ) ){
$return_array = array();
foreach( $string as $item )
{
if(!get_magic_quotes_gpc())
{
$return_array[] = addslashes( htmlspecialchars( strip_tags( $item ) ) );
}
else
{
$return_array[] = htmlspecialchars( strip_tags( $item ) );
}
}
return $return_array;
}
else
{
return htmlspecialchars( strip_tags( $string ) );
}
}
第三个也是最后一个问题是:
如果我发送变量$this->输入 – > post(‘my_var’)直接到没有过滤器的数据库,我运行sql注入的风险? CodeIgniter或过滤器如此安全?
IMPORTANTE:我的英语不是很好,我用google翻译并修复了我的能力.
谢谢你们 …