【问题标题】:Posting data to method in codeigniter, secuirty risk?将数据发布到codeigniter中的方法,安全风险?
【发布时间】:2015-08-30 05:25:40
【问题描述】:

我一直在使用 CodeIgniter,使用以下代码制作数据输入表单。我将作为 POST 发送到欢迎控制器的 get_data 方法。
可以在这样的表单中提供操作易受攻击?还有其他方法吗?

<form id='form'  action="<?php echo base_url("welcome/get_data"); ?>" method="POST" style="display:inline;">			
	<div class="form-group">
		<div class="col-md-6">
		<label class="col-md-3">First Name :</label><input  class="col-md-3" type="text" name='fname' ></input>
		</div>
		<div class="col-md-6">
		<label class="col-md-3">Middle Name :</label><input class="col-md-3" type="text" name='mname' ></input>
		</div>
	</div>
	<div class="form-horizontal">
		<div class="col-md-6">
		<label class="col-md-3">Last Name :</label><input class="col-md-3" type="text" name='lname' ></input>
		</div>
		<div class="col-md-6">
		<label class="col-md-3">Mobile No. :</label><input  class="col-md-3" type="text" name='Mno' ></input>
		</div>
	</div>		
	<div class="form-horizontal">
		<div class="col-md-6">
			<label class="col-md-3">Pin Code : </label><input  class="col-md-3" type="text" name='Pcode' ></input>
		</div>
		<div class="col-md-6">
			<label class="col-md-3">Country : </label><input class="col-md-3" type="text" name='Coun'></input>
		</div>
	</div>
	<div class="form-group">
		<div class="col-md-6">
			<label class="col-md-3">State : </label><input class="col-md-3" type="text" name='St'></input>
		</div>
		<div class="col-md-6">
			<label class="col-md-3">Email : </label><input class="col-md-3" type="text" name='email'></input><br>
		</div>
	</div><br>
			<input class="class-md-3 col-md-offset-4" type="submit" value="Save"/>
	</div>
</form>

我也可以使用 $this->input>post() 直接向数据库插入数据,是不是 Mysql 注入证明?

【问题讨论】:

  • 我很困惑你想问什么但$this-&gt;input-&gt;post(NULL, TRUE); // returns all POST items with XSS filter$this-&gt;input-&gt;post(); // returns all POST items without XSS filter
  • $this->input>post() 不保证 sql 注入,因为您必须使用 CI 的活动记录或查询构建器类

标签: php codeigniter


【解决方案1】:

您可以使用表单助手类,它包含许多对处理表单很有用的函数

CodeIgniter form helper

转义您的数据库查询并使用 CI 内置函数 $this-&gt;db-&gt;escape_str

CodeIgniter Db Queries

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-01-09
    • 2013-07-07
    • 2020-06-25
    • 1970-01-01
    • 2010-10-26
    相关资源
    最近更新 更多