提问：ci可以防止mysql注入吗？

李牧 · 发表于 2009-6-5 11:39:14

本帖最后由李牧于 2009-6-5 15:30 编辑

请问Hex及其他ci大侠，ci框架是不是默认就可以防止mysql注入啊？

Hex · 发表于 2009-6-5 11:44:02

AR 会过滤单引号加上 XSS 过滤就安全了

visvoy · 发表于 2009-6-5 11:47:51

本帖最后由 visvoy 于 2009-6-5 11:48 编辑

别直接把变量写到sql语句里就好
类似"select ... where id='$id'"
写成select('xxx'), where('id', $id)

李牧 · 发表于 2009-6-5 11:52:56

本帖最后由李牧于 2009-6-5 11:56 编辑

楼上大哥的意识是只要不使用原生的sql语句，使用AR语句，就可以避免mysql注入？对吗

李牧 · 发表于 2009-6-5 11:54:25

本帖最后由李牧于 2009-6-5 11:58 编辑

xss过滤我知道，主要是过滤表单的数据，的确很有用。

visvoy · 发表于 2009-6-5 11:58:17

按照ar的语法写，可以避免写sql产生的漏洞了

李牧 · 发表于 2009-6-5 12:12:45

版主的意思是sql注入漏洞都是SQL写法有错误、sql语句本身引起的？

visvoy · 发表于 2009-6-5 12:26:42

SQL注入当然是由SQL语句产生的，没有执行SQL语句，怎么会有SQL注入呢？
规范的AR可以防止SQL注入，XSS可以避免跨站攻击

Hex · 发表于 2009-6-5 12:38:38

我记得 XSS 好像会过滤 sql 关键字。

zhoulei · 发表于 2009-6-18 22:10:18

用XSS过滤表单提交的数据,发现对我输入的一连串的非法字符没有做任何处理就入库了.这是为什么?

		自动登录	找回密码
密码			入住 CI 中国社区

[已解决] 提问：ci可以防止mysql注入吗？