CodeIgniter 中文手册 版本 2.1.0

查看原文

安全

本页描述了一些关于 Web 安全的“最佳实践”,并详细说明了 CodeIgniter 的内部安全特性。

URI 安全

CodeIgniter 严格限制 URI 中所能包含的字符,以此帮助你设计的程序减少被恶意数据入侵的可能。URI 一般只包含下列内容:

Register_globals

系统初始化期间所有的全局变量都被 unset,除了那些在 $_GET、$_POST 和 $_COOKIE 数组中的数据。实际上 unsetting 实例程序的作用与register_globals = off 相同。

error_reporting

在生产环境中,往往有必要通过设置内部的error_reporting值为0来禁用PHP错误报告。 这可以防止可能含有敏感信息的原始PHP错误报告输出。

在 index.php 设置CodeIgniter的 ENVIRONMENT 常量为 'production' 将会关闭这些错误(报告)。在开发模式下,推荐设为 'development'。 更多关于各环境间区别的信息可以在处理多环境一章找到。

magic_quotes_runtime

在系统初始化期间 magic_quotes_runtime 指令被关闭以便在数据库检索数据时不必去掉反斜线。

最佳实践

在接收任何数据到你的程序之前,不管是表单提交的 POST 数据、COOKIE 数据、URI 数据、XML-RPC 数据、还是 SERVER 数组中的数据,我们都推荐你实践下面的三个步骤:

  1. 过滤不良数据.
  2. 验证数据以确保符合正确的类型, 长度, 大小等. (有时这一步骤也可取代第一步骤)
  3. 在提交数据到你的数据库之前将其转换.

CodeIgniter 提供了下列函数以辅助这个过程:

 

最后修改: 2012-02-11 00:35:08