xss过滤不删除codeigniter中的单引号

i have been using codeigniter from some time i just now found an possibility of sql - injection in my script

When user enter

<script>alert('hi') </script>

in my input field $this->security->xss_clean($field) remove the scipts but it does not take care of single quotes of the string. because of that i am getting query error as

Error Number: 37000

[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near 'hi'.

SELECT * FROM account WHERE field1 = '[removed]alert('hi') [removed]' AND field2 = 'asdasd'

Filename: D:\htdocs\system\database\DB_driver.php

Line Number: 331

this is for typical xss string but when the user add 1' or '1'='1

no error is being generated and query runs successfully .

i know this can be solved by str_replace("'","",$field);.

how can i solve this using codeigniter?

is there any global filter for this problem like ($config['global_xss_filtering'] = TRUE;)so that i don't have to add str_replace at all the input functions.

is there any way to generate log every time data has been clead with xss filtering?

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duanjiao1256 2015-03-17 00:18
关注
You try to protect yourself against SQL injection by calling xss_clean. xss_clean will protect you against xss injections, but will not prevent sql injections. Let me break it down to you:

SQL injection: Malicious user input, which tries to hack your database on server side. User input will contain SQL code.

XSS injection: Malicious user input, which tries to hack (spy in most cases) for other users. User input will contain Javascript code.

You need to protect yourself against both, but you should understand the difference.

Read this for SQL injection prevention in codeigniter. You can also use prepared statements, or flourishlib. As about protection against XSS, you can use xss_clean, or you can even write simple code in plain PHP:

public static function protectArrayAgainstXSS(&$arr) { foreach ($arr as $index => $a) { if (is_array($a)) { App::protectArrayAgainstXSS($arr[$index]); } else if ($a !== null) { $arr[$index] = strip_tags($a); } } }
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

关于codeigniter xss进攻和sql注入的防范问题
2019-01-31 09:53

不断高歌的博客如果你希望在每次遇到 POST 或 COOKIE 数据时自动运行过滤，你可以在 application/config/config.php 配置文件中设置如下参数: $config['global_xss_filtering'] = TRUE; 或者自动设置get和post方法的第二个...
php学习（四）：CodeIgniter框架，仅次于Laravel的框架（CI 4）
2022-08-19 09:34

起航吧！少年的博客 CodeIgniter的不断发展，它的安全性和缓存技术，可谓是非常优秀了，在这两方面来说，第二名它当之无愧
CodeIgniter Common.php
2013-03-07 09:43

宵晓cs的博客 * CodeIgniter * * An open source application development framework for PHP 5.1.6 or newer * * @package CodeIgniter * @author ExpressionEngine Dev Team * @copyright Copyright (c) ...
PHP：强大的Web开发语言
2024-09-16 14:22

热爱技术。的博客 PHP（PHP: Hypertext Preprocessor）即 “超文本预处理器”，是一种通用开源脚本语言，最初由 Rasmus Lerdorf 于 1994 年创建。它可以在服务器上执行，并且能够与众多流行数据库集成，包括 MySQL、PostgreSQL、...
CodeIgniter笔记
2015-06-24 15:33

hjjhce的博客 1.架构： m:数据模型，数据模型就是对你的数据库或其他数据存储方式进行取回、插入和更新的地方。 v：视图 ... view:可以按模块创建...在控制器加载的时候，依次加载header.php,home.php,footer.php。
CodeIgniter 的数据安全过滤全解析
2013-04-01 17:50

weixin_34392843的博客 CodeIgniter 的数据安全过滤全解析博客分类： Codeigniter / CakePHP MySQLSQLPHP 由于对CI的SQL安全这些不放心，今天寡人啃了一下午的代码，算是对其机制比较了解了，为了让各位兄弟姐妹少走弯路，特将...
php进阶提升
2022-04-01 17:55

Mzzad的博客 * 准备换工作，不知道从哪开始准备 * 技术遇到瓶颈，不知道该学什么 * 准备学 PHP，但不知道领域有多深 ## 基础篇 * 了解大部分数组处理函数 * 字符串处理函数（区别 mb_ 系列函数） * & 引用，结合案例分析 *...
PHP 安全最佳实践
2022-08-01 17:09

allway2的博客在CSRF攻击中，最终用户可以在经过身份验证的网站上执行不需要的操作，并且可以将恶意命令传输到站点以执行任何不需要的操作。一旦字符串被加密，它就会重复解码。很长一段时间以来，我一直致力于解决PHP安全和性能...
PHP代码审计系列(一) 基础：方法、思路、流程
2022-06-18 13:26

st3pby的博客 seay|源代码审计工具PHPStorm|是PHP编程语言开发的集成环境。chrome & burp & HackerBar 插件 & xdebug插件Xcheck |Xcheck是一个由腾讯公司CSIG质量部代码安全检查团队自研的静态应用安全测试工具。Xcheck在基于成熟...
PHP从入门到精通]-源码
2012-04-24 23:14

3. PHP字符串与数组处理：在PHP中，字符串可以通过单引号或双引号创建，支持多种操作，如连接、查找、替换等。数组有索引数组和关联数组，处理数组的函数有count、array_push、array_pop、sort、ksort等。 4. 文件...
没有解决我的问题, 去提问

xss过滤不删除codeigniter中的单引号

3条回答 默认 最新

3条回答默认最新