langziyang 发表于 2011-11-15 15:00:31

CI写的代码,检测出漏洞


这是一个增加评论的功能代码如下:


//提交评论
    function add_comments() {
      $submit = $this->input->post("submit");
      $r_id = $this->input->post("resource_id",TRUE);
      $login_name = $this->input->post("login_name",TRUE);
      if (empty($login_name)) {
            $login_name = "无名氏";
      }
      $content = $this->input->post("content",TRUE);
      if ($submit) {
            $datestring = "%Y-%m-%d %H:%i:%s";
            $time = time();
            $create_date = mdate($datestring, $time);
            if (empty($content)) {
                redirect("single?id=" . $r_id);
            } else {
                $query = $this->m_single->do_add_comments($r_id, $login_name, $content, $create_date);
                if ($query) {
                  redirect("single?id=" . $r_id);
                } else {
                  redirect("single?id=" . $r_id);
                }
            }
      }
    }





五点晨曦 发表于 2011-11-16 02:45:37

CI一上来就直接吧$_GET销毁了,如果要CRSF只能通过uri。在配置文件里面把CSRF过滤打开应该就没问题了吧

langziyang 发表于 2011-11-16 11:43:53

打开以后会报错

fltn03 发表于 2011-11-18 09:11:50

顶楼主一个!好东西,又学习了.:victory:

lcb21 发表于 2011-11-18 10:46:05

看不出来哪有问题,呵呵,刚刚接触

acabin 发表于 2011-11-22 23:26:28

其实xss过滤做好了的话csrf基本不需要担心吧

caedy 发表于 2011-11-23 15:00:21

学习了过会试一下

依旧猪贝_ 发表于 2011-11-26 00:44:56

CI新手,学习了!!!!!!{:soso_e185:}顶起来!!!

oraclelee 发表于 2012-1-17 15:11:53

没看懂,求解释。

Hex 发表于 2012-1-18 21:39:21

CSRF攻击需要你在表单里增加一个token,这个 CI 2.0 里提供了这方面的验证,仔细看一下手册,呵呵。
页: [1] 2
查看完整版本: CI写的代码,检测出漏洞