Comment éviter l'injection sql dans codeigniter

Vous pouvez utiliser

$this->db->escape()

Méthode..

$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($omgomg).")";

D'autres méthodes sont listées ici.

Http://codeigniter.com/user_guide/database/queries.html

, Vous devriez essayer d'éviter d'écrire vos requêtes directement dans une chaîne, puis les passer à la fonction de requête. Une meilleure option serait d'utiliser la classe Active Record qui construira vos requêtes pour vous et échappera aux valeurs. http://codeigniter.com/user_guide/database/active_record.html

Si vous voulez éviter d'utiliser la classe Active Record pour une raison quelconque, vous pouvez afficher la documentation Codeigniter pour la classe de base de données qui a une méthode d'échappement pour échapper vos valeurs avant de les transmettre à la méthode de requête. http://www.codeignitor.com/user_guide/database/queries.html

Ben

Dans CodeIgniter: Il y a 2 actions pour empêcher L'Injection SQL. Pour ceux qui sont la nouveauté dans la programmation web, un autre type de trou de sécurité dans la programmation web qui peut être fatale car elle peut exposer votre côté intérieur de la base de données de l'application, c'est L'Injection SQL.

Et heureusement encore une fois, Codeigniter a la capacité d'y faire face. Mais malheureusement, beaucoup de CI programmeur j'ai collaboré (et même vous) a fait (ou pourrait) oublier ces deux actions pour empêcher toute circonstance de SQL injection.

Bâton avec ActiveRecord capacité La première chose est de ne pas en aucun cas traiter l'interrogation des données en utilisant une requête complète comme ceci:

$this->db->query("select * from users where user=$user and password=$password")

Vous ne savez pas exactement quoi à l'intérieur$user ou $password variable quand il s'agit d'un utilisateur qui fera délibérément la mauvaise chose. Même XSS sanitiser ne traitera pas avec quelqu'un qui entre une combinaison de guillemets, de points-virgules ou de caractères de tiret. Donc, dans ce cas, vous devez apprendre cette chose D'enregistrement actif parce qu'il a une capacité d'assainissement d'entrée dédiée à empêcher L'injection SQL. Et ne vous inquiétez pas, il supporte le type de chaînage de fonction comme ceci:

$this->db->select('title')->from('mytable')->where('id', $id)->limit(10, 20);

$query = $this->db->get();

Mais rappelez-vous, cela ne fonctionnera pas si vous combinez toujours la fonction de requête habituelle (partiellement) à l'intérieur de la fonction d'enregistrement active comme ceci:

$query = $this->db->where("title LIKE '%$input%'");

Qui pourrait en fait être changé comme ça.

$query = $this->db->like("title", $input);

Le fait est, Utilisez chaque bit de possibilité de L'enregistrement actif de CodeIgniter et ne jouez pas avec.

Mais si cela n'est-ce pas le travail, il y a une alternative Si vous avez une requête très longue et que vous ne vous embêtez pas à la convertir en style D'enregistrement actif, vous pouvez assainir votre entrée manuellement en utilisant cette fonction:

$sanitised_title = $this->db->escape($title);

/ / pour une utilisation à L'intérieur comme requête

$sanitised_title = $this->db->escape_like_str($title);

Et vous pouvez concaténer en toute sécurité l'entrée aseptisée / échappée dans votre requête.

Vous pouvez vérifier si vous var ne contiennent que des lettres de chiffres, ce qui signifie que vous var mât être dans votre format défini. avant de l'insérer dans la requête

Tout en acceptant la valeur du côté client, mieux vaut utiliser ce code,

$client = $this->input->post('client',TRUE);

Lors de l'insertion, il est préférable d'utiliser la méthode d'insertion codeigniter,

$this->db->insert('tablename',$values);

Lors de l'utilisation de cette méthode codeingniter automatiquement faire tous échapper donc nous n'avons pas besoin de faire échapper manuel.