php codeigniter安全,php – codeigniter中的安全性

最新推荐文章于 2024-06-20 11:10:39 发布
最新推荐文章于 2024-06-20 11:10:39 发布
阅读量71 收藏
点赞数
文章标签: php codeigniter安全

下午好,

我对CodeIgniter的安全性有一些疑问,首先是:

我有一个控制器:news.php,其中有一个名为view的方法

例:

class News extends CI_Controller{

public function view( $id )

{

$this->load->model('news_model');

$this->news_model->get_by_id( $id );

// ...

}

}

这种工作形式安全吗?没有URL注入SQL的风险?考虑到这个页面被访问,所以mywebpage / news / number_id.过滤intval()或不必要的过程会很有趣吗?

我的第二个问题是:

默认情况下,CodeIgniter xss过滤器可以发布和获取,但未知的是通过CodeIgniter过滤HTML的方法,我在CodeIgniter中创建了一个帮助器,有一些类似于本机CodeIgniter的方法吗?

function remove_xss_html($string){

if( is_array( $string ) ){

$return_array = array();

foreach( $string as $item )

{

if(!get_magic_quotes_gpc())

{

$return_array[] = addslashes( htmlspecialchars( strip_tags( $item ) ) );

}

else

{

$return_array[] = htmlspecialchars( strip_tags( $item ) );

}

}

return $return_array;

}

else

{

return htmlspecialchars( strip_tags( $string ) );

}

}

第三个也是最后一个问题是:

如果我发送变量$this->输入 – &GT post(‘my_var’)直接到没有过滤器的数据库,我运行sql注入的风险? CodeIgniter或过滤器如此安全?

IMPORTANTE:我的英语不是很好,我用google翻译并修复了我的能力.

谢谢你们 …

解决方法:

如果您使用Active Record类进行数据库交互,则数据将自动转义:

Beyond simplicity, a major benefit to using the Active Record features is that it allows you to create database independent applications, since the query syntax is generated by each database adapter. It also allows for safer queries, since the values are escaped automatically by the system.

如果没有,并且您手动运行查询,则需要自行转义.

关于你的功能的一些建议:

public function view( $id )

{

$this->load->model('news_model');

$this->news_model->get_by_id( $id );

// ...

}

如果URL中不存在$id,您将收到错误通知.设置默认值:

public function view( $id = NULL )

然后检查控制器中的值.例:

if ( ! $id)

{

redirect('somwhere/else');

}

另外,确保在继续之前得到结果(如果没有找到记录,我假设你的模型在这里返回false):

$record = $this->news_model->get_by_id( $id );

if ( ! $record) // redirect with error message or something

您可以根据需要验证$ids类型或完整性,但为了简单起见,我只是将其传递给模型,如果没有找到记录则返回false.

标签:php,sql-injection,codeigniter

来源: https://codeday.me/bug/20190530/1186409.html

莉莉莉莉酱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈php(codeigniter)安全性注意事项
12-20
1、httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id。 要用框架的ci_session,更长的位数,httponly,这些默认都配好了。 不要用原生的phpsession,而要用ci_session。ci_session位数更长。 如果要用原生的session,应该这样设置(php.ini): session.sid_length //sid的长度,这里要加长,默认的太短了 session.cookie_httponly = 1原生的session就会变成httponly了。 2、phpinfo 一定要关闭phpin
CodeIgniter PHP开发框架 v3.1.6
11-28
6. **安全与防护**:CodeIgniter包含输入过滤、XSS(跨站脚本攻击)防御、CSRF(跨站请求伪造)保护等功能,保障应用的安全性。 7. **表单验证**:内置的表单验证类提供了一套完整的验证规则,可以对用户提交的数据...
php codeigniter安全,php codeigniter安全性
weixin_29543187的博客
03-21 74
下午好,我对CodeIgniter安全性有一些疑问,首先是:我有一个控制器:news.php,其有一个名为view的方法例:class News extends CI_Controller{public function view( $id ){$this->load->model('news_model');$this->news_model->get_by_id( ...
php codeigniter安全,浅谈php(codeigniter)安全性注意事项
weixin_35728049的博客
03-21 203
1、httponlysession一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id。要用框架的ci_session,更长的位数,httponly,这些默认都配好了。不要用原生的phpsession,而要用ci_session。ci_session位数更长。如果要用原生的session,应该这样设置(php.ini):session.sid_length...
phpcodeigniter安全性注意事项
壁立千仞无欲则刚的博客
02-12 1421
1、httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id,不要用原生的phpsession,而要用ci_session。 2、phpinfo 一定要关闭phpinfo页面,dump的请求信息可能会被攻击者利用。比如cookie信息。 3、全站https 4、secure cookie
CodeIgniter安全相关
qzfzz的博客
11-06 1680
CI框架自身提供了一些安全设置比如XSS和CSRF攻击防范 SQL注入攻击等 先说配置 application/config/config.php $config['encryption_key'] = ‘’;//这个一定要设置 以加密自己的cookie等 $config['cookie_secure'] = TRUE;//设置为TRUE /* |------------------
php路由的安全性,Codeigniter URI路由和安全性 - php
weixin_35058762的博客
03-10 98
codeigniter或restful结构,页面可以通过URI路由到例如,如果我想查看id:1的项目列表,那么我只需要创建一个类似这样的路径:domain.com/item/view/1并在控制器function view() {$id = $this->uri->segment(3);//database get data and return view...}这应该是实现静态...
PHP框架之CodeIgniter框架
AOMGyz的博客
06-20 538
它遵循MVC(模型-视图-控制器)设计模式,为开发者提供了丰富的功能和灵活性,同时保持代码的轻量级和易于管理。CodeIgniter由EllisLab公司开发,后被BCIT(British Columbia Institute of Technology)接手维护,并持续更新迭代,以满足现代Web开发的需求。通过以上案例可以看出,CodeIgniter框架为开发者提供了丰富的功能和灵活性,使得开发者能够快速地开发出高质量、安全可靠的Web应用程序。
php codeigniter3,codeigniter
weixin_36403128的博客
03-17 179
codeigniter是针对php开发者打造的一款免费框架,它为开发者提供了丰富的工具,可以方便开发者快速完成WEB应用的架构,它内置了丰富的类库供大家选择,是您开发各类PHP应用程序的不二选择。codeigniter的入门非常容易,官方还提供了开发手册供大家参考,有学习PHP开发的快快下载吧。codeigniter特色* 基于 MVC 体系* 超轻量级* 对数种数据库平台的全特性支持的数据库类*...
CodeIgniter php开发MVC框架 v3.1.8
10-14
6. **Security**:安全性是任何Web开发的重要考虑因素。CodeIgniter提供了各种安全特性,包括输入验证、XSS过滤、防止SQL注入等,帮助开发者构建安全的应用。 7. **错误处理和日志**:CodeIgniter具有强大的错误...
CodeIgniter 功能强大的 PHP 框架 v4.0
08-19
综上所述,CodeIgniter 4.0作为一个强大的PHP框架,不仅提供了全面的开发工具,而且注重性能和安全性,是快速构建Web应用的理想选择。结合提供的压缩包文件,你可以学习到如何实际运用CodeIgniter进行项目开发。
udp分片报文pcap文件
07-18
udp分片报文pcap文件:64kudp大包分成每片658字节总计100片
计算机教学导案.doc
07-18
计算机
摩根:2024年大市前瞻.pdf
最新发布
07-18
摩根:2024年大市前瞻
计算机控制专业技术专题实习任务书温度控制.doc
07-18
计算机
计算机控制系统.doc
07-18
计算机
计算机模拟考试.doc
07-18
计算机
WHO联合国健康老龄化十年进展报告2021-2023年英文版88页.pdf
07-18
医疗行业研究报告
提升PHP开发效率:免费开源框架CodeIgniter 1.7
此外,它强调了安全性,提供了安全的输入验证和防止 SQL 注入的措施。 然而,尽管 CodeIgniter 是免费的,但用户在使用过程必须确保遵守版权规定,未经事先书面许可,不得复制、存储或通过任何方式传播书的内容...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值