CI写的代码，检测出漏洞

langziyang · 发表于 2011-11-15 15:00:31

这是一个增加评论的功能代码如下：

PHP复制代码

//提交评论
function add_comments() {
$submit = $this->input->post("submit");
$r_id = $this->input->post("resource_id",TRUE);
$login_name = $this->input->post("login_name",TRUE);
if (empty($login_name)) {
$login_name = "无名氏";
}
$content = $this->input->post("content",TRUE);
if ($submit) {
$datestring = "%Y-%m-%d %H:%i:%s";
$time = time();
$create_date = mdate($datestring, $time);
if (empty($content)) {
redirect("single?id=" . $r_id);
} else {
$query = $this->m_single->do_add_comments($r_id, $login_name, $content, $create_date);
if ($query) {
redirect("single?id=" . $r_id);
} else {
redirect("single?id=" . $r_id);
}
}
}
}

复制代码

五点晨曦 · 发表于 2011-11-16 02:45:37

CI一上来就直接吧$_GET销毁了，如果要CRSF只能通过uri。在配置文件里面把CSRF过滤打开应该就没问题了吧

langziyang · 发表于 2011-11-16 11:43:53

打开以后会报错

fltn03 · 发表于 2011-11-18 09:11:50

顶楼主一个!好东西,又学习了.

lcb21 · 发表于 2011-11-18 10:46:05

看不出来哪有问题，呵呵，刚刚接触

acabin · 发表于 2011-11-22 23:26:28

其实xss过滤做好了的话csrf基本不需要担心吧

caedy · 发表于 2011-11-23 15:00:21

学习了过会试一下

依旧猪贝_ · 发表于 2011-11-26 00:44:56

CI新手，学习了!!!!!!{:soso_e185:}顶起来!!!

oraclelee · 发表于 2012-1-17 15:11:53

没看懂，求解释。

Hex · 发表于 2012-1-18 21:39:21

CSRF攻击需要你在表单里增加一个token，这个 CI 2.0 里提供了这方面的验证，仔细看一下手册，呵呵。

		自动登录	找回密码
密码			入住 CI 中国社区

[已解决] CI写的代码，检测出漏洞