CI(codeigniter)如何防止sql注入

阅读原文:http://www.yzswyl.cn/blread-1606.html

一般情况下我们只要使用AR和开启xss就可以防止了。实现方法:

1.开启xss

$config['global_xss_filtering']= TRUE;

2.使用AR

也许你会问AR是什么?参考ci手册,请看下图:

相信你应该明白了。

那么有的朋友会说为什么我都用了还是有注入呢?那么你就要分析其他方面的漏洞了。

因为如果你全部使用了AR,那么你传进去的都是些“表名,条件”之类的参数,如果是sql注入的话这些参数传进去会是失效的,比如:$this->db->get('table');如果把table换成"select * from admin"它会执行成功吗?以上只是个人想法,不正确的还请指正。

posted @ 2012-11-30 14:57  雪洁  阅读(3545)  评论(0编辑  收藏  举报