jak uniknąć SQL injection w codeigniter

Możesz użyć

$this->db->escape()

Metoda..

$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($omgomg).")";

Inne metody są tutaj wymienione.

Http://codeigniter.com/user_guide/database/queries.html

Powinieneś unikać pisania zapytań bezpośrednio w łańcuchu znaków, a następnie przekazywania ich do funkcji zapytania. Lepszą opcją byłoby użycie klasy Active Record, która zbuduje Twoje zapytania dla Ciebie i ucieknie od wartości. http://codeigniter.com/user_guide/database/active_record.html

Jeśli chcesz uniknąć używania klasy Active Record z jakiegokolwiek powodu, możesz wyświetlić dokumentację Codeigniter dla klasy bazy danych, która ma metodę escape dla wypisywanie wartości przed przekazaniem ich do metody kwerendy. http://www.codeignitor.com/user_guide/database/queries.html

Ben

W CodeIgniter: Istnieją 2 działania zapobiegające wtrysku SQL. Dla tych, którzy są nowością w programowaniu internetowym, innym rodzajem dziury bezpieczeństwa w programowaniu internetowym, która może być śmiertelna, ponieważ może ujawnić wewnętrzną stronę bazy danych aplikacji, jest to SQL Injection.

I na szczęście, Codeigniter ma możliwość radzenia sobie z tym. Ale niestety, wielu programistów CI, z którymi współpracowałem (a nawet ty), nie (lub może) zapomniało o tych dwóch działaniach, aby zapobiec jakimkolwiek okolicznościom SQL wstrzyknięcie.

Trzymaj się możliwości ActiveRecord Pierwszą rzeczą jest to, aby w żadnych okolicznościach nie radzić sobie z zapytaniem danych za pomocą pełnego zapytania takiego jak:

$this->db->query("select * from users where user=$user and password=$password")

Nie wiesz co dokładnie wewnątrz $user lub $password zmienna jeśli chodzi o użytkownika, który celowo zrobi coś złego. Nawet XSS sanitisser nie poradzi sobie z kimś, kto wprowadzi w nim kombinację cudzysłowu, średnika lub znaku myślnika. Więc w tym przypadku musisz nauczyć się tego Active Record ponieważ posiada funkcję dezynfekcji wejścia dedykowaną do zapobiegania SQL injection. I nie martw się, obsługuje takie łańcuchy funkcji:

$this->db->select('title')->from('mytable')->where('id', $id)->limit(10, 20);

$query = $this->db->get();

Ale pamiętaj, że to nie zadziała, jeśli nadal wykonasz łączenie zwykłej (częściowo) funkcji zapytań wewnątrz funkcji active record, jak to:

$query = $this->db->where("title LIKE '%$input%'");

Które właściwie można zmienić w ten sposób.

$query = $this->db->like("title", $input);

Chodzi o to, aby wykorzystać każdą możliwość aktywnego rekordu Codeignitera i nie zadzierać z nim.

Ale jeśli to ain ' t work, there is an alternative Jeśli masz bardzo długie zapytanie i nie zawracasz sobie głowy przekonwertowaniem go na styl Active Record, możesz ręcznie odczytać dane wejściowe za pomocą tej funkcji:

$sanitised_title = $this->db->escape($title);

/ / do użycia wewnątrz jak zapytanie

$sanitised_title = $this->db->escape_like_str($title);

I możesz bezpiecznie połączyć dane Sanitized / escaped w zapytaniu.

Możesz sprawdzić, czy var zawiera tylko litery cyfr, co oznacza, że var ma być w zdefiniowanym formacie. przed wstawieniem go do zapytania

Akceptując wartość od strony klienta, lepiej użyć tego kodu,

$client = $this->input->post('client',TRUE);

Podczas wstawiania lepiej użyć metody wstawiania codeigniter,

$this->db->insert('tablename',$values);

Podczas korzystania z tej metody codeingniter automatycznie wykonuj wszystkie escape, więc nie musimy wykonywać instrukcji escape.