ci mysql 转义_CI(CodeIgniter)框架中URL特殊字符处理与SQL注入隐患

最新推荐文章于 2022-11-20 13:51:22 发布
最新推荐文章于 2022-11-20 13:51:22 发布
阅读量287 收藏
点赞数
文章标签: ci mysql 转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31459297/article/details/113396448
版权

本文实例分析了CI(CodeIgniter)框架中URL特殊字符处理与SQL注入隐患。分享给大家供大家参考,具体如下:

php CI框架中URL特殊字符有很多是不支持的,导致像c++,括号这些常用的分类,字符都无法正常显示很头痛,而在配置里增加单引号’ 反斜杠\ 这种特殊字符又很容易给sql注入

在默认的config配置基础上加上:+=()特殊字符

#$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-';

$config['permitted_uri_chars'] ='a-z 0-9~%.:_\-\+=()';

在CI框架中,尽量使用AR类进行数据库查询是比较靠谱的,因为在底层会帮助使用者进行一次有效的转义,但也仅仅是转义而已。

过滤的方法是escape_str() :

function escape_str($str, $like = FALSE)

{

var_dump($str);

echo "\n" ;

if (is_array($str))

{

foreach ($str as $key => $val)

{

$str[$key] = escape_str($val, $like);

}

return $str;

}

if (function_exists('mysql_real_escape_string'))

{

$str = addslashes($str);

}

elseif (function_exists('mysql_escape_string'))

{

$str = mysql_escape_string($str);

}

else

{

$str = addslashes($str);

}

// escape LIKE condition wildcards

if ($like === TRUE)

{

$str = str_replace(array('%', '_'), array('\\%', '\\_'), $str);

}

return $str;

}

该方法仅仅是调用了一些转义函数,并对like参数进行过滤。

如果查询的变量没有被单引号包裹,那么就无法进行保护

ci 框架默认的过滤函数是escape :

xx". $this->db->escape ( $xxx )."xx

由于数组的$key过滤不严直接带入SQL查询的漏洞屡见不鲜:

$arr = array(

'name'=>"2' and 1=2",

"hello'"=>"2");

);

输出结果:

Array(

[name] => 2\’ and 1=2

[hello’ union select ] => 2

)

如果真实sql语句传入上面两个参数合并起来就可以查询出所有信息了,属于sql注入了

Unreal丶
关注
codeigniter自带数据库类使用方法说明
10-26
CodeIgniter提供了一个`query()`方法来执行原生SQL语句,为了防止SQL注入CodeIgniter建议使用`escape()`方法来转义变量。例如: ```php $sql = "INSERT INTO mytable(title, name) VALUES(" . $this->db->escape...
PHP面试题集锦(包含mysql相关)
03-24
- **CodeIgniter (CI)**:轻量级框架,适合快速开发小型项目。 - **Yii**:高性能框架,适用于开发大型应用。 - **Laravel**:优雅的框架,拥有丰富的功能和强大的社区支持。 - **ThinkPHP**:在国非常流行的框架...
ci mysql 转义_雷林鹏分享:CodeIgniter 转义查询
weixin_39962758的博客
01-27 132
CodeIgniter 框架提供了 Active Record 模式来对数据库进行操作,自己也比较喜欢这种操作数据库的方式,因为通过这种方式进行数据库操作系统会自动对数据进行转义过滤,可以帮助我们进行安全的数据库操作。但是Active Record 在数据查询方面个人觉得反而没有直接自己书写SQL语句来得方便,不好的就是使用自己的SQL语句进行查询系统默认没有对数据进行一些安全方面的操作,需要我们...
CI框架使用ar数据库查询类无法查找下划线_等特殊字符
sinat_33157758的博客
03-15 218
//对查询的关键字进行替换,比如要查询_,在_前面加上! $searchkey = str_replace('_','!_',$searchkey);
CodeIgniter URI传递参数存在不允许字符
yebanghua的专栏
04-15 2400
CIURI传递参数时,出现:The URI you submitted has disallowed characters.错误。<br />原因:这是由于uri存在CI不允许的字符。<br /><br /><br /><br />解决办法:<br /><br /><br />在config/config.php文件,找到 <br />$config['permitted_uri_chars'] = 'a-z 0-9~%.:_/-i';<br /><br /><br />在里面添加允许的字符。如我需要
ci mysql 转义_CICodeIgniter框架URL特殊字符处理SQL注入隐患分析
weixin_28976179的博客
01-27 204
本文实例分析了CI(CodeIgniter)框架URL特殊字符处理SQL注入隐患。分享给大家供大家参考,具体如下:php CI框架URL特殊字符有很多是不支持的,导致像c++,括号这些常用的分类,字符都无法正常显示很头痛,而在配置里增加单引号' 反斜杠\ 这种特殊字符又很容易给sql注入在默认的config配置基础上加上:+=()特殊字符#$config['permitted_uri_cha...
雷林鹏分享:CodeIgniter 转义查询
weixin_33976072的博客
05-15 187
  CodeIgniter 框架提供了 Active Record 模式来对数据库进行操作,自己也比较喜欢这种操作数据库的方式,因为通过这种方式进行数据库操作系统会自动对数据进行转义过滤,可以帮助我们进行安全的数据库操作。   但是Active Record 在数据查询方面个人觉得反而没有直接自己书写SQL语句来得方便,不好的就是使用自己的SQL语句进行查询系统默认没有对数据进行一些安全方面的操...
C3N1_C5N1_C6N1_C7N1
03-30
12. **安全实践**:防止SQL注入(预编译语句或参数绑定),XSS攻击(转义输出内容),CSRF攻击(使用令牌验证),密码哈希(使用bcrypt或argon2)等。 以上是PHP的一些核心知识点,实际项目还会涉及Web服务接口、...
基于PHP的OElovephp婚恋交友网站系统utf8源码.zip
最新发布
08-27
- 自动化部署:通过CI/CD(持续集成/持续部署)工具,实现代码一键部署,确保系统稳定运行。 通过以上分析,我们可以看到"OElovephp婚恋交友网站系统utf8源码"是一个综合运用了PHP、MySQL、前端技术、安全策略和...
learningPHP:o贝克·菲斯
02-17
12. **部署和自动化**:使用Composer管理依赖,Git进行版本控制,以及使用持续集成工具(如Jenkins、Travis CI)自动化测试和部署。 "learningPHP-master"这个文件名暗示这可能是一个项目仓库,包含了学习PHP的源...
CodeIgniter是一个简单快速的PHPMVC框架
08-08
CodeIgniter 是一个简单快速的PHP MVC 框架
Codeigniter利用加密Key(密钥)的对象注入漏洞
01-30
大家好,Codeigniter是我最喜爱的PHP框架之一。和别人一样,我在这个框架学习了PHP MVC编程。今天,我决定来分析一下Codeigniter的PHP对象注入漏洞。我在接下来的叙述会把重点放在Codeigniter的Session会话机制上。所有我将会分析的method方法都在CodeIgniter/system/libraries/Session.php文件里。我在本研究过程使用的是Codeigniter 2.1版本。0x01CodeigniterSess
php+sql+单引号保护,CICodeIgniter框架URL特殊字符处理SQL注入
weixin_42353258的博客
03-22 280
CI(CodeIgniter)框架URL特殊字符处理SQL注入隐患分析,cicodeigniter本文实例分析了CI(CodeIgniter)框架URL特殊字符处理SQL注入隐患。分享给大家供大家参考,具体如下:php CI框架URL特殊字符有很多是不支持的,导致像c++,括号这些常用的分类,字符都无法正常显示很头痛,而在配置里增加单引号' 反斜杠\ 这种特殊字符又很容易给sql注入在默...
MyBatis-Plus查询方法
qwredqwr的博客
03-10 2235
普通查询 T selectById(Serializable id);(String Long Integer都有实现该接口) List selectBatchIds(@Param(Constants.COLLECTION) Collection<? extends Serializable> idList); (只需要传入idList作为主键ID列表,不能为空) List sele...
任意代码执行漏洞复现
kali_Ma的博客
11-20 1256
在 PostgreSQL 数据库的 jdbc 驱动程序发现一个安全漏洞。当攻击者控制 jdbc url 或者属性时,使用 PostgreSQL 数据库的系统将受到攻击。pgjdbc 根据通过、、、sslfactory、连接属性提供类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行。
Mybatis plus插件入门实践
一路Coding
02-03 475
注解: @TableName(""):默认实体类的类名对应于数据库的表名,驼峰类名会自动映射成数据库以下划线的表名;如果不能直接使用这种方式映射,需该注解来指定表名; @TableId:默认实体类的主键字段名称为id,如果不是此名称,需在类字段上使用该注解,表明该字段对应于数据库表的主键字段; @TableFiled(""):默认实体类的字段名对应于数据库表的字段名是驼峰映射成下划线,如果不是则需...
php ci框架漏洞,CodeIgniter框架内核设计缺陷可能导致任意代码执行
weixin_29761519的博客
04-12 789
public function view($view, $vars = array(), $return = FALSE){return $this->_ci_load(array('_ci_view' => $view, '_ci_vars' => $this->_ci_object_to_array($vars), '_ci_return' => $return)...
MySQL 编程你也行】合并字符串不求人 ---> group_concat函数就能行
ciyongyuan4432的博客
10-21 118
1、表结构 点击(此处)折叠或打开 create table tt(id int,v varchar(30)); ...
URL特殊字符编码解析与处理技巧
本文主要探讨了URL特殊字符的编码方式以及处理方法,并介绍了Java的相关编码函数。" 在URL(统一资源定位符),有些字符具有特殊含义,如`/`用于分隔目录,`?`用于分隔URL和参数,`&`用于分隔多个参数,`#`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值