本文目录一览:
- 1、在PHP的CI框架中,kindeditor自动过滤尖括号,怎么办?
- 2、CI框架,它是二次开发吗
- 3、PHP的CI框架中对DB操作的Active Record安全吗
- 4、全局开启后怎么让ci不过滤xss
- 5、CI 防注入方面,到底过滤特殊字符没有
在PHP的CI框架中,kindeditor自动过滤尖括号,怎么办?
你看看application/config/config.php 文件启用了 XSS 过滤
$config['global_xss_filtering'] = TRUE;
或者您 $this-input-post( 'c', TRUE );
都会自动过滤一些特殊附号的。
CI框架,它是二次开发吗
嗯,可以说两者区别并不大,但是如果一定要说区别:CI是国外的框架,TP是国产的。两个都是轻量级框架,也就是说,可能自身不能完成项目的所有需求,需要引入第三方库。两者都是简单易学,快捷程度依照你对框架的熟悉程度而不同。TP比CI出现的时间久一点,TP是国产,可能在开发文档,教学视频,论坛和使用者方面略比CI要多一点。目前国内使用比较多的php框架主要是这些:yii,thinkphp,codeigniter,cakephp。使用二次开发的系统比较多的是:discuz,magento,帝国,织梦等cms
PHP的CI框架中对DB操作的Active Record安全吗
如果你保证user input都是用的xss clean过的话基本安全
1
$this-input-post('name', True),
但是感觉基于filter的都不太靠谱,可以考虑用prepared statment,参考PDO文档
全局开启后怎么让ci不过滤xss
这是CI 里的吧 虽然接触CI 不多 但个人感觉$this-input-post("",true) 好点 。之前有用过xss_clean 这个 直接 Post 都无法提交了 直接失败 。貌似是那里需要配置怎么的 接触不多 可在官 方手册 下查下 ...
CI 防注入方面,到底过滤特殊字符没有
看这里
... sql_driver.php#L301
$this-input-post('name',true);
这个是XSS过滤
手册有注明的
首先要搞清 xss 过滤,和sql注入是两码事,两个转义的方式不同,你给出的需要过滤的串 不需要转义。
你可以验证xss 过滤 script xss 过滤是可以的,至于说防止sql注入,不要怀疑ci 防注入的能力,你可以亲自注入一下。就知道结果了