CodeIgniter - 安全( Security)

XSS预防

XSS表示跨站点脚本。 CodeIgniter带有XSS过滤安全性。此过滤器可以防止任何恶意JavaScript代码或任何其他试图劫持cookie并进行恶意活动的代码。要通过XSS过滤器过滤数据，请使用xss_clean()方法，如下所示。

$data = $this->security->xss_clean($data);

只有在提交数据时才应使用此功能。可选的第二个布尔参数也可用于检查图像文件是否存在XSS攻击。这对文件上载工具很有用。如果其值为true，则表示图像是安全的，否则不是。

SQL Injection Prevention

SQL注入是对数据库查询的攻击。在PHP中，我们使用mysql_real_escape_string()函数来防止这种情况以及其他技术，但CodeIgniter提供内置函数和库来防止这种情况。

我们可以通过以下三种方式阻止CodeIgniter中的SQL注入 -

转义查询
查询招标
Active Record Class

转义查询

<?php
   $username = $this->input->post('username');
   $query = 'SELECT * FROM subscribers_tbl WHERE user_name = '.
      $this->db->escape($email);
   $this->db->query($query);
?>

$this-》db-》escape()函数自动在数据周围添加单引号并确定数据类型，以便它只能转义字符串数据。

查询招标

<?php
   $sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?";
   $this->db->query($sql, array(3, 'live', 'Rick'));
?>

在上面的例子中，问号（？）将被query（）函数的第二个参数中的数组替换。以这种方式构建查询的主要优点是值会自动转义，从而产生安全查询。 CodeIgniter引擎会自动为您完成，因此您无需记住它。

活动记录类

<?php
   $this->db->get_where('subscribers_tbl',array
      ('status'=> active','email' => 'info@arjun.net.in'));
?>

使用活动记录，每个数据库适配器生成查询语法。它还允许更安全的查询，因为值会自动转义。

隐藏PHP错误

在生产环境中，我们通常不希望向用户显示任何错误消息。如果在开发环境中启用它以进行调试，那就很好。这些错误消息可能包含一些信息，出于安全原因，我们不应向站点用户显示这些信息。

有三个与错误相关的CodeIgniter文件。

PHP错误报告级别

不同的环境需要不同级别的错误报告。默认情况下，开发将显示错误，但测试和实时将隐藏它们。在CodeIgniter的根目录中有一个名为index.php的文件，用于此目的。如果我们将零作为参数传递给error_reporting()函数，那么这将隐藏所有错误。

数据库错误

即使您已关闭PHP错误，MySQL错误仍然是打开的。您可以在application/config/database.php中将其关闭。将$db数组中的db_debug选项设置为FALSE ，如下所示。

$db['default']['db_debug'] = FALSE;

错误日志

另一种方法是将错误传输到日志文件。因此，它不会显示给网站上的用户。只需在application/cofig/config.php文件中将$config数组中的log_threshold值设置为1，如下所示。

$config['log_threshold'] = 1;

CSRF预防

CSRF代表跨站点请求伪造。您可以通过在application/config/config.php文件中启用它来防止此攻击，如下所示。

$config['csrf_protection'] = TRUE;

使用form_open()函数创建表单时，它会自动将CSRF作为隐藏字段插入。您还可以使用get_csrf_token_name()和get_csrf_hash()函数手动添加CSRF。 get_csrf_token_name()函数将返回CSRF的名称， get_csrf_hash()将返回CSRF的哈希值。

CSRF令牌可以在每次提交时重新生成，也可以在CSRF cookie的整个生命周期内保持一致。通过将值设置为TRUE ，在配置数组中使用键'csrf_regenerate'将重新生成令牌，如下所示。

$config['csrf_regenerate'] = TRUE;

您还可以通过使用密钥'csrf_exclude_uris'在配置数组中设置来保护CSRF保护的URL，如下所示。您还可以使用正则表达式。

$config['csrf_exclude_uris'] = array('api/person/add');

密码处理

许多开发人员不知道如何在Web应用程序中处理密码，这可能是众多黑客发现很容易进入系统的原因。处理密码时应牢记以下几点 -

请勿以纯文本格式存储密码。
始终哈希您的密码。
请勿使用Base64或类似编码来存储密码。
不要使用弱或破坏的哈希算法，如MD5或SHA1。只使用像BCrypt这样的强密码哈希算法，它在PHP自己的密码哈希函数中使用。
切勿以纯文本格式显示或发送密码。
不要对用户的密码设置不必要的限制。

<上一篇.CodeIgniter - 国际化( Internationalization)

CodeIgniter - 快速指南.下一篇>

CodeIgniter - 教程

CodeIgniter - 概述

CodeIgniter - 安装CodeIgniter( Installing CodeIgniter)

CodeIgniter - 应用程序架构( Application Architecture)

CodeIgniter - MVC框架( MVC Framework)

CodeIgniter - 基本概念( Basic Concepts)

CodeIgniter - 配置( Configuration)

CodeIgniter - 使用数据库( Working with Database)

CodeIgniter - (库)Libraries

CodeIgniter - 错误处理( Error Handling)

CodeIgniter - 文件上传( File Uploading)

CodeIgniter - 发送电子邮件( Sending Email)

CodeIgniter - 表单验证( Form Validation)

CodeIgniter - 会话管理( Session Management)

CodeIgniter - Flashdata( Flashdata)

CodeIgniter - Tempdata( Tempdata)

CodeIgniter - Cookie管理( Cookie Management)

CodeIgniter - 常用功能( Common Functions)

CodeIgniter - 页面缓存( Page Caching)

CodeIgniter - 页面重定向( Page Redirection)

CodeIgniter - 应用程序分析( Application Profiling)

CodeIgniter - 基准测试( Benchmarking)

CodeIgniter - 添加JS和CSS( Adding JS and CSS)

CodeIgniter - 国际化( Internationalization)