【发布时间】:2015-08-30 05:25:40
【问题描述】:
我一直在使用 CodeIgniter,使用以下代码制作数据输入表单。我将作为 POST 发送到欢迎控制器的 get_data 方法。
可以在这样的表单中提供操作易受攻击?还有其他方法吗?
<form id='form' action="<?php echo base_url("welcome/get_data"); ?>" method="POST" style="display:inline;">
<div class="form-group">
<div class="col-md-6">
<label class="col-md-3">First Name :</label><input class="col-md-3" type="text" name='fname' ></input>
</div>
<div class="col-md-6">
<label class="col-md-3">Middle Name :</label><input class="col-md-3" type="text" name='mname' ></input>
</div>
</div>
<div class="form-horizontal">
<div class="col-md-6">
<label class="col-md-3">Last Name :</label><input class="col-md-3" type="text" name='lname' ></input>
</div>
<div class="col-md-6">
<label class="col-md-3">Mobile No. :</label><input class="col-md-3" type="text" name='Mno' ></input>
</div>
</div>
<div class="form-horizontal">
<div class="col-md-6">
<label class="col-md-3">Pin Code : </label><input class="col-md-3" type="text" name='Pcode' ></input>
</div>
<div class="col-md-6">
<label class="col-md-3">Country : </label><input class="col-md-3" type="text" name='Coun'></input>
</div>
</div>
<div class="form-group">
<div class="col-md-6">
<label class="col-md-3">State : </label><input class="col-md-3" type="text" name='St'></input>
</div>
<div class="col-md-6">
<label class="col-md-3">Email : </label><input class="col-md-3" type="text" name='email'></input><br>
</div>
</div><br>
<input class="class-md-3 col-md-offset-4" type="submit" value="Save"/>
</div>
</form>
我也可以使用 $this->input>post() 直接向数据库插入数据,是不是 Mysql 注入证明?
【问题讨论】:
-
我很困惑你想问什么但
$this->input->post(NULL, TRUE); // returns all POST items with XSS filter$this->input->post(); // returns all POST items without XSS filter -
$this->input>post() 不保证 sql 注入,因为您必须使用 CI 的活动记录或查询构建器类
标签: php codeigniter