doushang1778 2015-10-26 17:14
浏览 74
已采纳

CodeIgniter表单上的XSS过滤

I am currently learning the framework "CodeIgniter". But I have a problem for my Form validation. First, let me show you my view :

<form method="post" action="connexion">
  <label for="pseudo">Pseudo : </label>
  <input type="text" name="pseudo" value="" />

  <label for="mdp">Mot de passe :</label>
  <input type="password" name="mdp" value="" />

  <input type="submit" value="Envoyer" /></form>

My controller : 

public function connexion()
{
    $this->load->library('form_validation');

    $this->form_validation->set_rules('pseudo', '"user name"', 'trim|required|min_length[5]|max_length[52]|alpha_dash|encode_php_tags|xss_clean');
    $this->form_validation->set_rules('mdp',    '"password"',       'trim|required|min_length[5]|max_length[52]|alpha_dash|encode_php_tags|xss_clean');

    if($this->form_validation->run())
    {
        $this->load->view('connexion_ok');
    }
    else
    {
        $this->load->view('form');
    }
}

When I remove the "xss_clean" filter in my controller in the set_rules(), it works perfectly, the form is valid. If the "xss_clean" is present, it doesn't work, it goes in the else. I don't use special chars in my input, only letters.

In the settings I put this on true : $config['global_xss_filtering'] = TRUE;

I read somewhere the "xss_clean" filter is useless. What else can I use ? Maybe helpers or something else ? Thank you

  • 写回答

2条回答 默认 最新

  • douxian1895 2015-10-26 18:28
    关注

    First of all set $config['global_xss_filtering'] = FALSE; You don't need or want this on all the time. This config setting is officially deprecated. It will likely disapear in the future.

    Second, if you are using version 3.0.x then remove ‘xss_clean’ from your validation rules. It is not on the officially supported list of form validation rules.

    The place where you can employ XSS filtering is when using the Input Class to fetch data from POST, GET, COOKIE or SERVER. Most of the input methods have a second param that enables running the data through xss_clean(). Example: $this->input->post('some_data', TRUE); Will get the value of $_POST['some_data']and run it through xss_clean(). If the second param is FALSE (or omitted) xss_clean() will not be used.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • CodeIgniter PHP开发框架 v3.1.6
    2020-11-28 15:48
    6. **安全与防护**:CodeIgniter包含输入过滤XSS(跨站脚本攻击)防御、CSRF(跨站请求伪造)保护等功能,保障应用的安全性。 7. **表单验证**:内置的表单验证类提供了一套完整的验证规则,可以对用户提交的数据...
  • CodeIgniter php开发MVC框架 v3.1.8
    2020-10-14 06:38
    CodeIgniter提供了各种安全特性,包括输入验证、XSS过滤、防止SQL注入等,帮助开发者构建安全的应用。 7. **错误处理和日志**:CodeIgniter具有强大的错误处理机制,能够捕获和记录运行时的错误和异常,便于调试和...
  • CodeIgniter PHP开发框架 v3.1.7
    2020-11-26 01:03
    此外,这个版本还增强了安全特性,包括输入过滤XSS(跨站脚本攻击)防御和CSRF(跨站请求伪造)保护,确保应用程序免受常见的Web攻击。 框架提供的数据库抽象层支持多种数据库系统,如MySQL、PostgreSQL、SQLite...
  • shop-ci:在codeigniter 2上购物
    2021-04-28 19:45
    11. **安全措施**:包括XSS过滤、CSRF保护、输入验证等,CodeIgniter 2提供了多种安全防护手段,保障网站安全。 12. **用户认证**:对于有登录功能的商店,需要实现用户注册、登录、密码重置等功能。CodeIgniter 2...
  • PHP框架之CodeIgniter框架
    2024-06-20 11:10
    编程小郭的博客 CodeIgniter由EllisLab公司开发,后被BCIT(British Columbia Institute of Technology)接手维护,并持续更新迭代,以满足现代Web开发的需求。通过以上案例可以看出,CodeIgniter框架为开发者提供了丰富的功能和...
  • 浅谈php(codeigniter)安全性注意事项
    2020-12-20 06:44
    `会自动进行XSS过滤。不过,仅靠这个还不够,需要结合其他的防御策略,例如使用一次性Token来防止重放攻击。 一次性Token通常存储在服务器端(如Redis),并随每个表单一起发送。一旦使用,应立即删除或使其失效。...
  • CodeIgniter 1.7
    2018-08-09 16:03
    在安全方面,CodeIgniter采取了许多措施来保障应用程序的安全性,例如提供数据过滤功能,防止跨站脚本攻击(XSS)和SQL注入等常见的网络攻击。它还提供了输入类,确保从用户那里获得的数据是安全的,不会被恶意利用...
  • PHP敏捷开发CodeIgniter框架
    2013-10-02 23:29
    此外,框架内嵌的安全特性,如XSS过滤和防止SQL注入,有助于提升应用的安全性。 7. **对象与类库扩展**:开发者可以创建自定义的类和对象,扩展CodeIgniter的功能。CodeIgniter的类库如FTP、Email和XML-RPC,方便...
  • CodeIgniter是一个简单快速的PHPMVC框架
    2019-08-08 03:16
    5. **安全增强**:包括输入过滤XSS防护、CSRF保护等安全特性,有助于预防常见的Web攻击。 6. **CLI工具**:CodeIgniter 4提供了一套命令行工具,用于生成控制器、模型、视图等,加速开发进程。 7. **模板引擎**...
  • 使用CodeIgniter框架快速开发PHP应用
    2014-05-23 22:40
    3. **增强安全性**:CI内置了一系列的安全特性,如跨站脚本(XSS过滤、SQL注入防护等,有效提升了应用程序的安全性。 4. **简化配置与部署**:CI拥有简单的配置流程和友好的文档支持,即使是初学者也能快速上手,...
  • CodeIgniter:开源PHP框架(最初来自EllisLab)
    2021-02-05 15:13
    CodeIgniter包含了一些内置的安全功能,如输入数据过滤、输出数据编码、XSS(跨站脚本攻击)防御等,帮助开发者防止常见的Web应用程序安全问题。 4. **数据库支持**: 支持多种数据库系统,包括MySQL、PostgreSQL...
  • Course-Registration:使用 PHP Codeigniter 的 Web 应用程序
    2021-06-23 06:37
    - 预设的安全性措施,如 XSS 过滤和 SQL 注入防护 - 错误处理和日志记录 - 路由和 URL 构造 ### 2. MVC 设计模式 MVC 架构在 Codeigniter 中起着核心作用,将应用程序逻辑分为三个主要部分: - **模型(Model)**...
  • PHP框架详解 - CodeIgniter 框架
    2024-06-22 11:45
    换个网名有点难的博客 安全性:提供了 XSS 过滤、CSRF 保护等安全特性。 社区支持:拥有一个活跃的社区,提供大量的扩展和插件。 真实例子:在线商店 假设我们需要开发一个在线商店,以下是使用 CodeIgniter 框架开发此系统的基本步骤: ...
  • php codeigniter3,codeigniter
    2021-04-19 03:00
    Design设迹的博客 codeigniter是针对php开发者打造的一款免费框架,它为开发者提供了丰富的工具,可以方便开发者快速完成WEB应用的架构,它内置了丰富的类库供大家选择,是您开发各类PHP应用程序的不二选择。codeigniter的入门非常...
  • PHP教程学习指南.rar
    2025-10-09 11:38
    安全性是网页开发中不能忽视的一部分,因此要了解如何通过PHP防止跨站脚本攻击(XSS)和SQL注入等常见网络安全问题。 随着学习的深入,可以进一步掌握高级PHP特性,如流控制、会话管理、内存管理、文件上传处理、...
  • CodeIgniter v3.1.5
    2020-11-30 03:10
    安全性方面,CodeIgniter 实现了输入过滤XSS防护和防止SQL注入等安全措施,有效降低了Web应用被攻击的风险。此外,它还提供了URL伪静态化功能,有助于提高网站的SEO排名。 在性能优化上,CodeIgniter 通过缓存...
  • CI.zip_codeigniter
    2022-09-23 03:46
    6. **辅助函数**:CodeIgniter提供大量辅助函数,简化常见的开发任务,如表单验证、URL生成、日期处理等。 7. **库**:CodeIgniter的库系统允许扩展其核心功能,例如邮件发送、图像处理、会话管理等。 8. **错误...
  • 0352:基于CodeIgniter的开发人员CMS
    2021-03-16 06:58
    5. **安全与输入验证**:CodeIgniter提供了安全功能,如XSS(跨站脚本)过滤、SQL注入防护、CSRF(跨站请求伪造)保护等,确保应用免受常见Web攻击。 6. **表单和数据验证**:通过Form Validation类,开发者可以...
  • PHP开发框架CodeIgniter中文参考资料
    2011-06-15 15:28
    而其强大的安全特性,如XSS过滤和SQL注入防护,则能有效防止常见的Web攻击。总的来说,CodeIgniterPHP开发者构建高质量Web应用的理想选择。通过深入学习和实践,开发者可以提升自己的技能,适应不断变化的Web开发...
  • 使用phpcodeigniter框架做的教育网站
    2012-11-26 11:04
    4. 安全性:内置的安全特性如XSS过滤、SQL注入防护,帮助开发者构建安全的网站。 5. 错误处理和调试:强大的错误报告和日志系统,便于开发者定位和解决问题。 6. 灵活的URL路由:可以根据需要自定义URL结构,提高...
  • 没有解决我的问题, 去提问