codeigniter中的XSS过滤不会阻止SQL注入吗?

时间:2014-11-23 13:44:05

标签: php sql codeigniter sql-injection

我读了一些表格,表示xss clean在codeigniter dosn中没有阻止在sql注入,它不应该在输入中使用但它应该在输出中使用它是真的...请任何一个解释..那么如何防止在codeigniter中进行sql注入。

感谢您重播我.. 抱歉英语不好..

1 个答案:

答案 0 :(得分:3)

首先,这两个主题并非特定于CodeIgniter。 但CodeIgniter有特定的方法来处理其中的一些问题。请阅读https://ellislab.com/codeigniter/user-guide/general/security.html

请记住,CodeIgniter不会将您从这些中拯救出来,您必须了解这两种攻击是如何起作用的。

重要的是要理解这些是两种不同的攻击,就像任何攻击一样,它们可以耦合在一起。例如,使用XSS / CSRF执行SQL注入。精心设计的管理员链接等。

XSS是指攻击者可以注入要在客户端执行的代码。例如,在代码中放置<script>标记。如果输出用户提供的数据而不对其进行消毒或验证,则通常会发生这种情况。通常,这可能是他们的用户名,帖子标题,$ _GET数据等。除了脚本标记之外,还有更多方法可以在客户端上执行脚本,因此请务必阅读相关主题。 为避免这种情况,请始终从任何来源转义用户输入的数据。 您可以阅读更多相关信息https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29

SQL注入是指攻击者可以出于恶意目的更改SQL查询的时间。避免注入的最常用方法是确保在将每个输入传递给查询之前将其转义。使用预准备语句也有很多帮助。在CodeIgniter中,您经常使用&#34; ActiveRecord&#34; db thing,它为你输出了输入。 您可以阅读更多相关信息,包括示例https://www.owasp.org/index.php/SQL_Injection

您还应该阅读https://www.owasp.org/index.php/Top_10_2013-Top_10并熟悉最常见的攻击。<​​/ p>