安全
本页描述了一些关于 Web 安全的“最佳实践”,并详细说明了 CodeIgniter 的内部安全特性。
URI 安全
CodeIgniter 严格限制 URI 中所能包含的字符,以此帮助你设计的程序减少被恶意数据入侵的可能。URI 一般只包含下列内容:
- 字母和数字(Alpha-numeric text)
- 波浪符(Tilde): ~
- 句号(Period): .
- 冒号(Colon): :
- 下划线(Underscore): _
- 破折号(Dash): -
GET、POST 和 COOKIE 数据
当系统使用URI分段而不是传统的URL请求字符串时GET 数据被禁止使用(除非你已经在配置文件中开启了字符串请求). 在系统初始化期间全局GET数据被Input类设为unset.
Register_globals
系统初始化期间所有的全局变量都被unset, 除了那些在$_POST和$_COOKIE 数组中的数据. 实际上unsetting 实例程序的作用与register_globals = off 相同.
magic_quotes_runtime
在系统初始化期间 magic_quotes_runtime 指令被关闭以便在数据库检索数据时不必去掉反斜线。
最佳实践
在接收任何数据到你的程序之前,不管是表单提交的 POST 数据、COOKIE 数据、URI 数据、XML-RPC 数据、还是 SERVER 数组中的数据,我们都推荐你实践下面的三个步骤:
- 过滤不良数据.
- 验证数据以确保符合正确的类型, 长度, 大小等. (有时这一步骤也可取代第一步骤)
- 在提交数据到你的数据库之前将其转换.
CodeIgniter 提供了下列函数以辅助这个过程:
XSS 过滤
CodeIgniter带有一个跨站脚本过滤器. 这个过滤器会查找那些用通常手段嵌入到你数据中恶意的Javascript,或其它一些试图欺骗cookie类型的或者做其它恶意事情的代码. XSS Filter的详细描述在 这里.
验证数据
CodeIgniter 有一个表单验证类用来帮助验证、过滤和预处理数据。
插入数据库之前转义所有数据
不要插入未转义的信息到你的数据库中。要了解更多信息请参阅查询章节。
翻译贡献者:
Hex, lishen2, shnwqshnwq
最后修改: 2011-01-31 19:09:58