duanpacan2583 2011-06-07 17:03
浏览 52
已采纳

用于安全删除数据库条目的我的Codeigniter方法

I've been searching about deleting db entries in Codeigniter and I finally created a solution that I think is secure. I would really appreciate any feedback! I'm not sure if I'm doing this right..

Advantages:

  • Uses POST request

  • ID of entry to be deleted is
    validated

  • Uses CSRF protection (automatically
    generated by Codeigniter)

In my example I'm deleting user submitted links (a DB table row contains a link title, link URL, an link description).

HTML: Database entires are contained within a form. Each entry has a form button with the respective link id in the id attribute. 

<?php echo form_open('profile/remove_link'); ?>

<?php echo form_hidden('link_id', ''); //value will be populated via jquery ?>

<ul id="user_links">
    <?php foreach($query as $row): ?>

    <li><?php echo $row->link_title; ?></li>
    <li><?php echo auto_link($row->link_url, 'url', TRUE); ?></li>
    <li><?php echo $row->link_description; ?></li>

    <button type="submit" class="remove" id="<?php echo $row->link_id ?>"  value="remove">Remove Link</button>

    <?php endforeach; ?>
</ul>

</form>

JQUERY: When user clicks on the remove button, the respective link id is added to the the hidden text input named link_id. 

$(document).ready(function(){
    $('.remove').click(function() {
        var link_to_remove = $(this).attr("id");
        $("input[name=link_id]").val(link_to_remove);
    }); 
});

Upon clicking a remove button, it sends the id of link to be removed to controller profile and function remove_link

    function remove_link()
    {
        $this->load->model('Profile_model');
        $links_data['query'] = $this->Profile_model->links_read(); //get links from db to add in view

        //Validation
        $this->form_validation->set_rules('link_id', 'Link ID', 'trim|required|xss_clean|max_length[11]|numeric'); //validate link id

        if ($this->form_validation->run() == FALSE) //if validation rules fail
        {           
            $this->load->view('profile/edit_links_view', $links_data);
        }
        else //success
        {
            $link_id =  $this->input->post('link_id'); //get id of link to be deleted
            $seg = 'user_links'; //used to redirect back to user links page
            $this->Profile_model->links_delete($link_id, $seg); //send link id to model function            
        }       
    }

MODEL 

    function links_delete($link_id, $seg)
    {
        $this->db->where('user_id', $this->tank_auth->get_user_id());
        $this->db->where('link_id', $link_id);
        $this->db->delete('user_links'); 
        redirect("/profile/$seg/");         
    }
  • 写回答

3条回答 默认 最新

  • dongqie8661 2011-06-07 19:48
    关注

    If the ids are unique integers in your database, you could remove these rules:

    trim|xss_clean|numeric

    And add this one:

    is_natural_no_zero

    Returns FALSE if the form element contains anything other than a natural number, but not zero: 1, 2, 3, etc.

    The numeric rule allows some characters you probably don't want, like decimals and negative. Here's the source (one line):

    return (bool)preg_match( '/^[\-+]?[0-9]*\.?[0-9]+$/', $str);

    If for some reason you are echo'ing the input back in your HTML output before validating, or are just paranoid, then by all means: xss_clean it up. Otherwise it's not really needed, as I don't think there's any possible method of XSS attacks that only use a number.

    Reference:

    Also, you might want to add a LIMIT 1 clause to your query, and definitely make sure to return a value (probably TRUE/FALSE) from your model so you know whether or not the query was successful, so you can give feedback to the user instead of assuming everything went well.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • 在用户登录时包含会话数据中的数据库目(CodeIgniter php sql
    2014-10-30 12:56
    回答 3 已采纳 Thanks for your help both, I was able to achieve this as follows; model; function validate() {
  • 创建对数据库目的安全锚引用 mysql php
    2016-03-08 15:03
    回答 1 已采纳 You can do a lot of things here. About what you suggest of creating a new column on your table an
  • CodeIgniter我的照片无法插入数据库 jquery mysql php
    2017-07-27 07:24
    回答 2 已采纳 when you load the upload library try to used this: $this->upload->initialize($config); an
  • codeigniter自带数据库类使用方法说明
    2021-01-21 16:09
    初始化数据库类 依据你的数据库配置载入并初始化数据库类: 复制代码 代码如下:this->load->database(); 被载入之后你可以在任何地方使用它。 以对象形式返回查询结果 复制代码 代码如下:$query = $this->db->query...
  • 用mySQL处理datatables codeigniter中的大数据[关闭] css javascript mysql php
    2017-03-03 15:51
    回答 1 已采纳 Try using server side datatables. That way you wont have to fetch all 7.8k rows at once
  • Codeigniter中的动态数据库 mysql php
    2018-03-07 10:30
    回答 1 已采纳 this is in the controller: $db_hostname = $databaseInfo['Hostname']; $db_username = $data
  • 如何从Codeigniter中的数据库中获取数据..? php
    2018-03-06 11:43
    回答 4 已采纳 Your Controller $this->load->database(); //load the model $this->load->model('
  • CodeIgniter框架数据库基本操作示例
    2020-10-18 12:04
    这个例子展示了CodeIgniter如何简化数据库操作,提供了直观且易于理解的方法来处理常见的CRUD(创建、读取、更新和删除)任务。通过这种方式,开发者可以更专注于业务逻辑,而不是数据库操作的细节。CodeIgniter的...
  • 如何从数据库中创建Codeigniter语言文件? mysql php
    2014-05-29 18:02
    回答 1 已采纳 You are on the right track. You’ll want to create a language file on the fly (e.g. whenever you up
  • 我想在codeigniter中显示我的数据库中的表 mysql php
    2017-02-21 09:12
    回答 2 已采纳 Use $this->db->list_tables() to get all the tables name from database. $tables = $this-&gt
  • 从JQuery调用CodeIgniter方法 javascript php
    2018-08-01 05:53
    回答 2 已采纳 This declaration in the controller public function delete_anexo($id, $file) assumes that the $id a
  • CodeIgniter数据库缓存自动过期的处理的方法
    2020-12-18 09:34
    CI自带数据库文件缓存,但按官方的说法,缓存设置后永不过期,除非你调用方法主动删除。Cache files DO NOT expire. Any queries that have been cached will remain cached until you delete them.感觉太弱智了,...
  • CodeIgniter针对数据库的连接、配置及使用方法
    2020-10-22 18:31
    CodeIgniter提供了一系列的方法来执行查询,如query()用于执行任意SQL语句,insert()用于插入数据,update()用于更新数据,delete()用于删除数据等。每个方法都会返回一个查询结果对象,通过该对象可以进一步对结果...
  • php框架CodeIgniter主从数据库配置方法分析
    2020-10-18 12:05
    CodeIgniter框架中,这种配置可以有效地实现数据库的读写分离,提高数据查询效率,并保障数据的安全性。 配置主从数据库主要是在CodeIgniter框架的配置文件`config/database.php`中进行设置。在该文件中可以配置...
  • php基于CodeIgniter简易产品后台管理Demo+数据库
    2023-09-12 11:03
    php基于CodeIgniter简易产品后台管理Demo+数据库 环境要求 WAMPserver 注意事项 Apache httpd-vhosts.conf注册ServerName pro_product.loc 导入product_db.sql 更改CI的database文件'database' => 'product_db'及本...
  • codeigniter数据库操作函数汇总
    2021-01-20 01:15
    网上倒是有不少Codeigniter数据库操作的介绍,这里做一个汇总。 复制代码 代码如下://查询: $query = $this->db_query(“SELECT * FROM table”); ==================================//result() 返回对象数组$data...
  • CodeIgniter删除和设置Cookie的方法
    2020-12-18 04:35
    - **CodeIgniter针对lighttpd服务器URL重写的方法**:介绍了在lighttpd服务器上设置URL重写以配合CodeIgniter框架的方法。 - **CI(CodeIgniter)框架中URL特殊字符处理与SQL注入隐患分析**:分析了URL中特殊字符...
  • CI配置多数据库访问的方法
    2020-12-18 15:49
    在上面的例子中,`$this->bbs->query()`是执行SQL查询的方法,而`$query->result()`则用于获取查询结果。 4. **注意事项** - **数据库选择**:在进行查询之前,确保正确地加载了所需数据库。如果不指定,CI将...
  • Nginx下配置codeigniter框架方法
    2020-12-17 20:48
    在将CodeIgniter框架从Apache迁移到Nginx时,可能会遇到各种问题,如404错误、403禁止访问等。这主要是由于两个服务器的URL处理方式不同,特别是对于PHP框架的路由机制。本篇文章将详细介绍如何在Nginx环境中配置...
  • Codeigniter发送邮件的方法
    2020-10-24 12:47
    而SMTP(Simple Mail Transfer Protocol)则更为灵活,通常用于配置更复杂的邮件服务器,例如Gmail、Yahoo等,适合大型应用或需要更高级别的安全设置的场景。 在CodeIgniter中,要使用邮件发送功能,首先需要加载`...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 PointNet++的onnx模型只能使用一次
  • ¥20 西南科技大学数字信号处理
  • ¥15 有两个非常“自以为是”烦人的问题急期待大家解决!
  • ¥30 STM32 INMP441无法读取数据
  • ¥15 R语言绘制密度图,一个密度曲线内fill不同颜色如何实现
  • ¥100 求汇川机器人IRCB300控制器和示教器同版本升级固件文件升级包
  • ¥15 用visualstudio2022创建vue项目后无法启动
  • ¥15 x趋于0时tanx-sinx极限可以拆开算吗
  • ¥500 把面具戴到人脸上,请大家贡献智慧,别用大模型回答,大模型的答案没啥用
  • ¥15 任意一个散点图自己下载其js脚本文件并做成独立的案例页面,不要作在线的,要离线状态。