CI安全
2015-09-07 16:49
253 查看
URI安全,CodeIgniter 严格限制 URI 中所能包含的字符,以此帮助你设计的程序减少被恶意数据入侵的可能。URI 一般只包含下列内容:
字母和数字(Alpha-numeric text)
波浪符(Tilde): ~
句号(Period): .
冒号(Colon): :
下划线(Underscore): _
破折号(Dash): -
系统初始化期间所有的全局变量都被 unset,除了那些在 $_GET、$_POST 和 $_COOKIE 数组中的数据。实际上 unsetting 实例程序的作用与register_globals = off 相同。
在系统初始化期间 magic_quotes_runtime 指令被关闭以便在数据库检索数据时不必去掉反斜线。
在接收任何数据到你的程序之前,不管是表单提交的 POST 数据、COOKIE 数据、URI 数据、XML-RPC 数据、还是 SERVER 数组中的数据,我们都推荐你实践下面的三个步骤:
过滤不良数据.
验证数据以确保符合正确的类型, 长度, 大小等. (有时这一步骤也可取代第一步骤)
在提交数据到你的数据库之前将其转换
XSS过滤:
CodeIgniter带有一个跨站脚本过滤器. 这个过滤器会查找那些用通常手段嵌入到你数据中恶意的Javascript,或其它一些试图欺骗cookie类型的或者做其它恶意事情的代码
数据验证:
CodeIgniter 有一个表单验证类用来帮助验证、过滤和预处理数据。
插入数据库之前转义所有数据:
不要插入未转义的信息到你的数据库中。要了解更多信息请参阅查询章节。
http://codeigniter.org.cn/user_guide/database/queries.html
保护标识符:
在许多数据库中,保护表(table)和字段(field)的名称是明智的,例如在MySQL中使用反引号。Active Record的查询都已被自动保护,然而,如果您需要手动保护一个标识符,您也可以这样:
$this->db->protect_identifiers('table_name', TRUE);
封装,通过让系统为你组装各个查询语句,能够简化你的查询语法。参加下面的范例:
$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?";
$this->db->query($sql, array(3, 'live', 'Rick'));
字母和数字(Alpha-numeric text)
波浪符(Tilde): ~
句号(Period): .
冒号(Colon): :
下划线(Underscore): _
破折号(Dash): -
系统初始化期间所有的全局变量都被 unset,除了那些在 $_GET、$_POST 和 $_COOKIE 数组中的数据。实际上 unsetting 实例程序的作用与register_globals = off 相同。
在系统初始化期间 magic_quotes_runtime 指令被关闭以便在数据库检索数据时不必去掉反斜线。
在接收任何数据到你的程序之前,不管是表单提交的 POST 数据、COOKIE 数据、URI 数据、XML-RPC 数据、还是 SERVER 数组中的数据,我们都推荐你实践下面的三个步骤:
过滤不良数据.
验证数据以确保符合正确的类型, 长度, 大小等. (有时这一步骤也可取代第一步骤)
在提交数据到你的数据库之前将其转换
XSS过滤:
CodeIgniter带有一个跨站脚本过滤器. 这个过滤器会查找那些用通常手段嵌入到你数据中恶意的Javascript,或其它一些试图欺骗cookie类型的或者做其它恶意事情的代码
数据验证:
CodeIgniter 有一个表单验证类用来帮助验证、过滤和预处理数据。
插入数据库之前转义所有数据:
不要插入未转义的信息到你的数据库中。要了解更多信息请参阅查询章节。
http://codeigniter.org.cn/user_guide/database/queries.html
保护标识符:
在许多数据库中,保护表(table)和字段(field)的名称是明智的,例如在MySQL中使用反引号。Active Record的查询都已被自动保护,然而,如果您需要手动保护一个标识符,您也可以这样:
$this->db->protect_identifiers('table_name', TRUE);
封装,通过让系统为你组装各个查询语句,能够简化你的查询语法。参加下面的范例:
$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?";
$this->db->query($sql, array(3, 'live', 'Rick'));
相关文章推荐
- 第二周项目0 第一篇博文
- 认识wxWidgets
- SQL SERVER 插入数据获取自增ID,SCOPE_IDENTITY、IDENT_CURRENT 和 @@IDENTITY的比较
- html5 svn e.target cannot get correct value
- 基于过程的sin函数的计算
- 脚本乐园 awk中FS的一点细节
- 1214 -- 精确表达浮点数
- 1213 -- 求最值之差
- ora-01017 ora-02063 database link,oracle11.2g通过dblink连接oracle11.2g
- 第6章 中断与中断处理
- 写简单的启动init脚本
- Java____MAVEN+M2E(坑)
- CI调试应用程序
- Java学习记录_Eclipse环境搭建
- 第一个任务
- CSS框架:uikit
- Android照片墙完整版,完美结合LruCache和DiskLruCache
- 1064. Complete Binary Search Tree (30)
- 第2周项目0 宣告“主权”
- 背包问题-贪心法-java实现