我使用codeigniter作为我的框架,在我的控制器顶部,我将添加一行代码,将uri_string(用户请求的最后一页)发送到库,将库发送到用户会话中可能最终进入数据库。
我的问题是我是否需要验证这个uri_string()或它是否安全?
答案 0 :(得分:2)
简单回答,如果有疑问则验证它。 在短时间内,您需要对其进行编码,您将安心。
此外,如果所有控制器都会发生这种情况,我建议您将函数调用添加到每个控制器的构造中,或者扩展核心控制器以在其构造中包含调用。
答案 1 :(得分:0)
请注意,'permitted_uri_chars'中的config.php项会自动禁止包含不允许字符的任何网址。因此,只要您没有修改它以包含潜在的恶意字符,您应该没问题。来自config.php中的评论:
默认情况下,只允许这些:a-z 0-9~%。:_ -
但是,as Rooneyl mentions,无论如何都可能不会伤害任何东西。