php CI框架中URL特殊字符处理与SQL注入隐患

php CI框架中URL特殊字符有很多是不支持的，导致像c++，括号这些常用的分类，字符都无法正常显示很头痛，而在配置里增加单引号' 反斜杠\ 这种特殊字符又很容易给sql注入

在默认的config配置基础上加上：+=()特殊字符

#$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-';

$config['permitted_uri_chars'] ='a-z 0-9~%.:_\-\+=()';

在CI框架中，尽量使用AR类进行数据库查询是比较靠谱的，因为在底层会帮助使用者进行一次有效的转义，但也仅仅是转义而已。

过滤的方法是escape_str() ：

function escape_str($str, $like = FALSE)

{

    var_dump($str);

    echo "\n" ;

    if (is_array($str))

    {

        foreach ($str as $key => $val)

        {

            $str[$key] = escape_str($val, $like);

        }

        return $str;

    }

    if (function_exists('mysql_real_escape_string'))

    {

        $str = addslashes($str);

    }

    elseif (function_exists('mysql_escape_string'))

    {

        $str = mysql_escape_string($str);

    }

    else

    {

        $str = addslashes($str);

    }

    // escape LIKE condition wildcards

    if ($like === TRUE)

    {

        $str = str_replace(array('%', '_'), array('\\%', '\\_'), $str);

    }

    return $str;

}

该方法仅仅是调用了一些转义函数，并对like参数进行过滤。

如果查询的变量没有被单引号包裹，那么就无法进行保护

-------------

ci 框架默认的过滤函数是escape ：

xx". $this->db->escape ( $xxx )."xx

由于数组的$key过滤不严直接带入SQL查询的漏洞屡见不鲜:

$arr = array(

    'name'=>"2' and 1=2",

    "hello'"=>"2");

);

输出结果：

Array(

    [name] => 2\' and 1=2

    [hello' union select ] => 2

)

如果真实sql语句传入上面两个参数合并起来就可以查询出所有信息了，属于sql注入了

php CI框架中URL特殊字符处理与SQL注入隐患的更多相关文章

1. 过滤网址和输入框中的特殊字符，防止sql注入

   using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Secu ...

2. CI 框架中的自定义路由规则

   在 CI 框架中,一个 URL 和它对应的控制器中的类以及类中的方法是一一对应的,如: www.test.com/user/info/zhaoyingnan 其中 user 对应的就是控制器中的 us ...

3. CI框架中的奇葩

   今天在win下开发,使用ci框架,本来是没有任何问题,然后转向了mac上开发,结果出现了个奇葩的问题,就是在ci框架中,控制器命名以"Admin_"为前缀的,在url中,控制器也必 ...

4. php json_encode在CI框架中的使用细节

   这个错误的造成原因是加载类类库,转换成json格式的时候不熟悉CI框架的规定导致的,CI框架中规定在将数据转换成json格式的时候需要将类库小写,当然了,调用的时候必须保证有这个类库,且可以在对应的文 ...

5. CI框架中集成CKEditor编辑器的教程

   CKEditor是在很多开发过程中都会用到的一个富文本编辑器,那么如何在CI框架中使用它呢?这里介绍了在CI下使用CKEditor的方法,版本比较低,是在CI 1.7.3下使用fckeditor 2. ...

6. CI 框架中的日志处理 以及 404异常处理

   最近在整理项目中的日志问题,查了一些关于 “CI 框架中的日志处理 以及 404异常处理” 的东西,顺便记录一下: 关于错误日志: 1. 在CI框架中的 system/core/CodeIgniter ...

7. 对CI框架中几个文件libraries

   对CI框架中几个文件libraries,helpers,hooks夹说明 来源:未知    时间:2014-10-20 11:37   阅读数:117   作者:xbdadmin [导读] 1.lib ...

8. php ci框架中载入css和js文件失败的原因及解决方法

   在将html页面整合到ci框架里面的时候,载入css和js失败. 原因是ci框架是入口的框架 对框架中文件的全部请求都须要经过index.php处理完毕,当载入外部的css和js文件的时候要使 用ba ...

9. CodeIgniter(CI)框架中的验证码

   在CodeIgniter框架中,CI本身自带了验证码,但是查看文档的时候,发现: 需要新建一个表,用来存储验证码信息.因为习惯了session存储验证码信息,所以我把我认为比较好看的验证码应用在了CI ...

随机推荐

1. 隐藏UITableView多余的分割线

   先看看没有隐藏是什么效果以及代码是什么情况,这样更加直观

2. c#params ref out

   params params 关键字可以指定在参数数目可变处采用参数的方法参数. 在方法声明中的 params 关键字之后不允许任何其他参数,并且在方法声明中只允许一个 params 关键字. 示例: ...

3. WebViewer报错Error loading document: Invalid XOD file: Zip end header data is wrong size!

   错误:Error loading document: Invalid XOD file: Zip end header data is wrong size! 解决:https://groups.go ...

4. 四:分布式事务一致性协议paxos通俗理解

   转载地址:http://www.lxway.com/4618606.htm 维基的简介:Paxos算法是莱斯利·兰伯特(Leslie Lamport,就是 LaTeX 中的"La" ...

5. System.InvalidOperationException: 无法加载协定为“ServiceReference1.XXXXXXXXXXXXXXXX”的终结点配置部分，因为找到了该协定的多个终结点配置。请按名称指示首选的终结点配置部分。

   <system.serviceModel> <bindings> <basicHttpBinding> <binding name="testWeb ...

6. pygame写的弹力球

   这是pygame写的弹力球 运行效果: ======================================================== 代码部分: ================= ...

7. MySql 查询表结构信息

   select Column_name as 列名,is_nullable as 是否可为空,data_type as 数据类型,column_default as 默认值,case when colu ...

8. ngnix和负载均衡

   1 准备环境 =====>part1: iptables -F #systemctl disable firewalld #开机默认关闭 #systemctl stop firewalld #立 ...

9. 给定两个有序整数数组 nums1 和 nums2，将 nums2 合并到 nums1 中，使得 num1 成为一个有序数组

   题目描述: 给定两个有序整数数组 nums1 和 nums2,将 nums2 合并到 nums1 中,使得 num1 成为一个有序数组. 说明:初始化 nums1 和 nums2 的元素数量分别为 m ...

10. frambuffer 相关函数理解

    1. framebuffer_alloc()功能是向内核申请一段大小为sizeof(struct fb_info) + sizeprivate的空间,其中sizeprivate的大小代表设备的私有数据 ...