Codeigniter：网址保护[关闭]

Question

我将 mode_rewrite 与 codeiniter 一起使用以获取诸如：

 /controller/param1/param2

大多数情况下，param1 和 param2 将是数据库中的 ID（即数字），仅此而已。

问题是，我可以做些什么以及应该做些什么来保护它免受潜在的黑客攻击？我应该为此使用 html 净化器，还是有更好的方法，或者甚至需要做些什么？

我在安全和保护方面真的是新手，我刚刚听说过 html 净化器，我宁愿不要像初学者那样到处使用它。

我应该只是 preg_match() 吗？

如果 preg_match() 是解决方案，哪个表达式只接受数值（ID 值）？

Answer 1

在你的配置文件中你可以找到

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-+';

您不需要使用 preg 匹配，因为它已经在 Codeigniter 中通过这个完成，另一方面我建议进行验证，只有合适的人可以访问此链接 例如，如果项目 ID 未显示给只读用户等，您可以在控制器中进行某些检查后通过路由或重定向来处理此问题

但是我的安全性不是很好，但我目前所知道的

Answer 2

如果这不是特定于 codeignitor 的问题，而是一般如何清理用户输入，那么一个简单的解决方案是在提交 SQL 之前转义并引用该值。

这样的事情会起作用（警告：未经测试的 PHP 代码）：

function escapeAndQuoteValue($value, $forceQuote = false) {
    if (is_null($value)) {
        $escapedString = 'NULL';
    } elseif (is_bool($value)) {
        $escapedString = $value ? 'TRUE' : 'FALSE';
    } elseif (isDigits($value) && $value[0] != '0') {
        $escapedString = $value; //return ints verbatim -- unless it has a leading zero
    } else {
        $escapedString = pg_escape_string($value);
    }

    $quoteString = 
        $forceQuote     ||
        is_null($value) || 
        is_bool($value) || 
         (isDigits($value) && $value[0] != '0');

    return $quoteString ? "'$escapedString'" : $escapedString; 

}