CI(codeigniter)如何防止sql注入

一般情况下我们只要使用AR和开启xss就可以防止了。实现方法:

1.开启xss

$config['global_xss_filtering']= TRUE;

2.使用AR

也许你会问AR是什么?参考ci手册,请看下图:


相信你应该明白了。

那么有的朋友会说为什么我都用了还是有注入呢?那么你就要分析其他方面的漏洞了。

因为如果你全部使用了AR,那么你传进去的都是些“表名,条件”之类的参数,如果是sql注入的话这些参数传进去会是失效的,比如:

$this->db->get('table');

如果把table换成

"select * from admin"

它会执行成功吗?

以上只是个人想法,不正确的还请指正。

by 雪洁 2012-11-30 06:52:12 15514 views
我来说几句

相关文章