提问:ci可以防止mysql注入吗?
本帖最后由 李牧 于 2009-6-5 15:30 编辑请问Hex及其他ci大侠,ci框架是不是默认就可以防止mysql注入啊? AR 会过滤单引号加上 XSS 过滤就安全了 本帖最后由 visvoy 于 2009-6-5 11:48 编辑
别直接把变量写到sql语句里就好
类似"select ... where id='$id'"
写成select('xxx'), where('id', $id) 本帖最后由 李牧 于 2009-6-5 11:56 编辑
楼上大哥的意识是只要不使用原生的sql语句,使用AR语句,就可以避免mysql注入?对吗 本帖最后由 李牧 于 2009-6-5 11:58 编辑
xss过滤我知道,主要是过滤表单的数据,的确很有用。 按照ar的语法写,可以避免写sql产生的漏洞了 版主的意思是sql注入漏洞都是SQL写法有错误、sql语句本身引起的? SQL注入当然是由SQL语句产生的,没有执行SQL语句,怎么会有SQL注入呢?
规范的AR可以防止SQL注入,XSS可以避免跨站攻击 我记得 XSS 好像会过滤 sql 关键字。 :dizzy:用XSS过滤表单提交的数据,发现对我输入的一连串的非法字符没有做任何处理就入库了.这是为什么?
页:
[1]
2