0

我写了一个插入我的数据库的函数。我有一点疑问。

我的以下代码是否提供了良好的安全性来在将数据提交到我的数据库之前对其进行转义?

如果以下代码没有提供将数据插入 db views.php 的好方法,请为此建议我一些解决方案

 <? echo form_open('Setups/subject'); ?> 
                 <? echo '<div id="level">'. $subjectname.' : '.form_input($fsubjectname); ?>  
                 <?  echo form_submit($submitbtn); 
                  echo form_reset($resetbtn);  
                  echo '</fieldset>'; ?>

   <? echo form_close(); ?>

控制器.php

class Setups extends CI_Controller  {

function subject(){
    $this->load->helper('form'); 
    $this->load->model('Setupsmodel');

    if($this->input->post('subsubmit')){
        $this->Setupsmodel->entry_insert();
    }

    $data=$this->Setupsmodel->subjectsetup(); 
    $this->load->view('admin/setups/subject_setups',$data); 
  }
}

模型.php

  class Setupsmodel extends CI_Model {

  function __construct()
{
    // Call the Model constructor
    parent::__construct();
}

function subjectsetup()
{
 $data['subjectname']='Enter Subject Name';  
 $data['fsubjectname']=      
  array('name'=>'subject_name','class'=>'input','size'=>30,'id'=>'txtsubject'); 

 $data['formtopic']='Subject Details Form';


 $data['submitbtn'] = array(
'name' => 'subsubmit',
'class' => 'button',
'value' => 'Submit',
'type' => 'submit',
'content' => 'Submit'

 );
  $data['resetbtn'] = array(
'name' => 'button',
 'class' => 'rsetbutton',
'value' => 'Reset',
'type' => 'reset',
'content' => 'Reset'
);

 return $data;   
}

//--------------Insertion of new record in the table subjectdetails into the db------------

function entry_insert(){
   $this->load->database();
   $data=array(
       'subject_name'=>$this->input->post('subject_name'));
$this->db->insert('subjectdetails',$data);
}   
}
4

1 回答 1

1

你没有过滤你的用户输入,所以这是有风险的。无论如何,CodeIgniter带有一个跨站点脚本黑客预防过滤器,它可以自动运行以过滤遇到的所有 POST 和 COOKIE 数据,或者您可以按每个项目运行它。默认情况下,它不会全局运行,因为它需要一些处理开销,而且您可能并非在所有情况下都需要它。要通过 XSS 过滤器过滤数据,您可以使用安全类中的以下方法

$data = $this->security->xss_clean($data);

如果您希望过滤器在每次遇到 POST 或 COOKIE 数据时自动运行,您可以通过打开 application/config/config.php 文件并设置它来启用它

$config['global_xss_filtering'] = TRUE;

如果您使用表单验证类,它还为您提供XSS过滤选项,使用表单验证类set_rules的方法。

$this->form_validation->set_rules('input_name', 'input label', 'xss_clean');

所以在这种情况下,你可以在你的控制器中使用

$this->form_validation->set_rules('subject_name', 'Subject Name', 'xss_clean|required');
if($this->form_validation->run())
{
    $this->Setupsmodel->entry_insert();
}

xss_clean规则将过滤输入,规则required将检查输入是否为空,因此如果验证成功,则您的插入方法将起作用。

于 2013-01-13T08:37:59.997 回答