[已解决] 提问：ci可以防止mysql注入吗？

本主题由 visvoy 于 2010-1-3 18:24 分类

Rank: 2

积分: 62
威望: 0
CI版本

楼主 跳转到 » 倒序看帖

打印

字体大小: tT

简繁发表于 2009-6-5 11:39 | 只看该作者

[已解决] 提问：ci可以防止mysql注入吗？

本帖最后由李牧于 2009-6-5 15:30 编辑

请问Hex及其他ci大侠，ci框架是不是默认就可以防止mysql注入啊？

Hex

管理员

Rank: 9 Rank: 9 Rank: 9

积分: 43566
威望: 6190
CI版本: 1.7.2

热心解答问题奖章

沙发

简繁发表于 2009-6-5 11:44 | 只看该作者

AR 会过滤单引号加上 XSS 过滤就安全了

QQ: 49489680
MSN: zhaochang_tj AT hotmail DOT com
搜索: http://search.codeigniter.org.cn

visvoy

版主

Rank: 7 Rank: 7 Rank: 7

积分: 1253
威望: 45
CI版本

热心解答问题奖章 CI 专家奖章

藤椅

简繁发表于 2009-6-5 11:47 | 只看该作者

本帖最后由 visvoy 于 2009-6-5 11:48 编辑

别直接把变量写到sql语句里就好
类似"select ... where id='$id'"
写成select('xxx'), where('id', $id)

Rank: 2

积分: 62
威望: 0
CI版本

板凳

简繁发表于 2009-6-5 11:52 | 只看该作者

本帖最后由李牧于 2009-6-5 11:56 编辑

楼上大哥的意识是只要不使用原生的sql语句，使用AR语句，就可以避免mysql注入？对吗

Rank: 2

积分: 62
威望: 0
CI版本

报纸

简繁发表于 2009-6-5 11:54 | 只看该作者

本帖最后由李牧于 2009-6-5 11:58 编辑

xss过滤我知道，主要是过滤表单的数据，的确很有用。

visvoy

版主

Rank: 7 Rank: 7 Rank: 7

积分: 1253
威望: 45
CI版本

热心解答问题奖章 CI 专家奖章

地板

简繁发表于 2009-6-5 11:58 | 只看该作者

按照ar的语法写，可以避免写sql产生的漏洞了

Rank: 2

积分: 62
威望: 0
CI版本

7楼

简繁发表于 2009-6-5 12:12 | 只看该作者

版主的意思是sql注入漏洞都是SQL写法有错误、sql语句本身引起的？

visvoy

版主

Rank: 7 Rank: 7 Rank: 7

积分: 1253
威望: 45
CI版本

热心解答问题奖章 CI 专家奖章

8楼

简繁发表于 2009-6-5 12:26 | 只看该作者

SQL注入当然是由SQL语句产生的，没有执行SQL语句，怎么会有SQL注入呢？
规范的AR可以防止SQL注入，XSS可以避免跨站攻击

Hex

管理员

Rank: 9 Rank: 9 Rank: 9

积分: 43566
威望: 6190
CI版本: 1.7.2

热心解答问题奖章

9楼

简繁发表于 2009-6-5 12:38 | 只看该作者

我记得 XSS 好像会过滤 sql 关键字。

QQ: 49489680
MSN: zhaochang_tj AT hotmail DOT com
搜索: http://search.codeigniter.org.cn

zhoulei

Rank: 2

积分: 145
威望: 5
CI版本: 1.7.1

10楼

简繁发表于 2009-6-18 22:10 | 只看该作者

用XSS过滤表单提交的数据,发现对我输入的一连串的非法字符没有做任何处理就入库了.这是为什么?