Проект «SnakeProject» Михаила КозловаРегистрация

Навигация
⇐CISCO
⇐Voice(Asterisk\Cisco)
⇐Microsoft
⇐Powershell
⇐Python
⇐SQL\T-SQL
⇐FreeBSD and Nix
⇐1С
⇐Общая
⇐WEB Разработка
⇐ORACLE SQL \ JAVA
⇐Мото

Codeigniter: security


Используйте эту функцию, чтобы профильтровать данные через фильтр XSS:
$this->security->xss_clean()
Вот пример использования:

$data = $this->security->xss_clean($data);

Если вы хотите, чтобы фильтр автоматически запускался каждый раз, при получении данных POST или COOKIE, вы можете включить его, открыв ваш файл application/config/config.php и установив в нем:

$config['global_xss_filtering'] = TRUE;

Второй опциональный параметр, is_image, позволяет проверять изображения на потенциальные XSS-атаки, что полезно для безопасной загрузки файлов. Когда второй параметр установлен в TRUE, вместо возвращения измененной строки, функция вернет TRUE, если изображение безопасное, или FALSE, если оно содержит потенциально опасную информацию, которую браузер может выполнить.

if ($this->security->xss_clean($file, TRUE) === FALSE)
{
// файл провалил XSS тест
}

$this->security->sanitize_filename()
Принимая файловые пути от пользователей, имеет смысл очистить их для предотвращения обхода директорий и других вещей, связанных с безопасностью. Чтобы сделать это, используйте метод sanitize_filename() класса безопасности. Вот пример:

$filename = $this->security->sanitize_filename($this->input->post('filename'));

Межсайтовая подделка запросов (Cross-site request forgery, CSRF)
Вы можете включить защиту CSRF, открыв ваш application/config/config.php и установив в нем:

$config['csrf_protection'] = TRUE;

Если вы используете помощник форм, функция form_open() автоматически будет добавлять скрытое поле CSRF в ваши формы.


Комментарии пользователей

Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!

© Snakeproject.ru создан в 2013 году. При копировании материала с сайта - оставьте ссылку.


Яндекс.Метрика

Goon Каталог сайтов Рейтинг@Mail.ru