codeigniter 中的安全性

Posted 2023-02-24

【中文标题】codeigniter 中的安全性

【英文标题】：Security in codeigniter

【发布时间】：2013-11-23 02:09:44

【问题描述】：

CodeIgniter 如何比核心 php 编码更安全。 CodeIgniter 处理了哪些安全问题，如果不编写任何特殊的安全代码，我们就无法从核心 PHP 中获得。为了防止SQL注入我们必须使用mysql_real_scape_string()。

【问题讨论】：

ellislab.com/codeigniter%20/user-guide/general/security.html

mysql_real_escape_string 已被弃用，因此不应将其用于新代码。

它是用 PHP 编写的。所以它不能提供在 PHP 中不可能实现的特殊安全功能！它是一个框架，框架通常可以轻松使用任何东西，包括安全功能。

@LawrenceCherone 你是对的，因为 mysql 已被弃用。但是如果你还用mysql，你也得用mysql_real_escape_string。

【参考方案1】：

例子：-

$data = array('NAME' => $NAME,'EMAIL' => $EMAIL, 'PASSWORD' => $PASSWORD);              
$clean = $this->security->xss_clean($data);

【讨论】：

这是如何试图回答这个问题的并不明显

这对手头的问题没有任何意义。

【参考方案2】：

http://ellislab.com/codeigniter%20/user-guide/libraries/security.html

$data = $this->security->xss_clean($data);

如果您希望过滤器在每次遇到 POST 或 COOKIE 数据时自动运行，您可以通过打开 application/config/config.php 文件并进行设置来启用它：

$config['global_xss_filtering'] = TRUE;

【参考方案3】：

Codeigniter 和 Zend、cake、Yii 等其他流行框架都提供了方法和结构，在一定程度上迫使开发人员编写能够抵抗常见漏洞的代码，例如跨站脚本 XSS、SQL 注入和其他黑客。但一切都取决于开发人员。框架只会提供一个经过良好测试的结构来构建你的应用程序。如果您编写核心 php，在某些情况下，您可以编写更安全的代码。但这需要非常熟练的开发人员。所以在大多数情况下，使用框架肯定会给你带来优势。

【参考方案4】：

我听说 codeigniter 停止了它的开发，而且我知道 codeigniter 仍在使用 mysql 而不是 mysqli 函数来提高后端的安全性。

为了防止 mysql 在 codeigniter 中注入，我通常在我的模型中使用绑定，如下所示：

$sql = "SELECT * FROM some_table WHERE username = ? AND password= ?";

$this->db->query($sql, array($username, $Encrypted_password)); 

使用绑定的好处是值会自动转义，从而产生更安全的查询。

这个应用程序框架对我来说还是不错的。

【讨论】：

只要您使用 Active Record，CI 就会始终转义查询值。绑定并不比->where() 更安全。因为它仍然是处理这两者的 Active Record。

还有各种不同的数据库驱动程序可用于 CI。另外，mysql 适配器仍然可用的原因是因为他们试图保持与 PHP4 的向后兼容性。

Codeigniter的开发并未停止，V3正在开发中，目前稳定版本支持mysqli。