Образовательный проект «SnakeProject» Михаила Козлова

⇒ WEB Разработка ⇐

CISCO

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Codeigniter: security

Используйте эту функцию, чтобы профильтровать данные через фильтр XSS:
$this->security->xss_clean()
Вот пример использования:

$data = $this->security->xss_clean($data);

Если вы хотите, чтобы фильтр автоматически запускался каждый раз, при получении данных POST или COOKIE, вы можете включить его, открыв ваш файл application/config/config.php и установив в нем:

$config['global_xss_filtering'] = TRUE;

Второй опциональный параметр, is_image, позволяет проверять изображения на потенциальные XSS-атаки, что полезно для безопасной загрузки файлов. Когда второй параметр установлен в TRUE, вместо возвращения измененной строки, функция вернет TRUE, если изображение безопасное, или FALSE, если оно содержит потенциально опасную информацию, которую браузер может выполнить.

if ($this->security->xss_clean($file, TRUE) === FALSE)
{
// файл провалил XSS тест
}

$this->security->sanitize_filename()
Принимая файловые пути от пользователей, имеет смысл очистить их для предотвращения обхода директорий и других вещей, связанных с безопасностью. Чтобы сделать это, используйте метод sanitize_filename() класса безопасности. Вот пример:

$filename = $this->security->sanitize_filename($this->input->post('filename'));

Межсайтовая подделка запросов (Cross-site request forgery, CSRF)
Вы можете включить защиту CSRF, открыв ваш application/config/config.php и установив в нем:

$config['csrf_protection'] = TRUE;

Если вы используете помощник форм, функция form_open() автоматически будет добавлять скрытое поле CSRF в ваши формы.

Комментарии пользователей