1 教程-内容提要
1.1 CodeIgniter3.1教程——开始
1.2 加载静态内容
1.3 读取新闻条目
1.4 创建新闻条目
2 常规主题
2.1 CodeIgniter URL
2.2 控制器
2.3 保留名称
2.4 视图
2.5 模型
2.6 辅助函数
2.7 使用 CodeIgniter 类库
2.8 创建类库
2.9 使用 CodeIgniter 驱动器
2.10 创建驱动器
2.11 创建核心系统类
2.12 创建附属类
2.13 钩子 - 扩展框架核心
2.14 自动加载资源
2.15 公共函数
2.16 兼容性函数
2.17 URI 路由
2.18 错误处理
2.19 网页缓存
2.20 程序分析
2.21 以 CLI 方式运行
2.22 管理你的应用程序
2.23 处理多环境
2.24 在视图文件中使用 PHP 替代语法
2.25 安全
2.26 PHP 开发规范
3 类库参考
3.1 基准测试类
3.2 缓存驱动器
3.3 日历类
3.4 购物车类
3.5 配置类
3.6 Email 类
3.7 加密类(废弃)
3.8 加密类(新版)
3.9 文件上传类
3.10 表单验证类
3.11 FTP 类
3.12 图像处理类
3.13 输入类
3.14 Javascript 类
3.15 语言类
3.16 加载器类
3.17 迁移类
3.18 输出类
3.19 分页类
3.20 模板解析类
3.21 安全类
3.22 Session 类
3.23 HTML 表格类
3.24 引用通告类
3.25 排版类
3.26 单元测试类
3.27 URI 类
3.28 用户代理类
3.29 XML-RPC 与 XML-RPC 服务器类
3.30 Zip 编码类
4 数据库参考
4.1 数据库快速入门: 示例代码
4.2 数据库配置
4.3 连接你的数据库
4.4 查询
4.5 生成查询结果
4.6 查询辅助函数
4.7 查询构造器类
4.8 事务
4.9 数据库元数据
4.10 自定义函数调用
4.11 查询缓存
4.12 数据库工厂类
4.13 数据库工具类
4.14 数据库驱动器参考
5 辅助函数参考
5.1 数组辅助函数
5.2 验证码辅助函数
5.3 Cookie 辅助函数
5.4 日期辅助函数
5.5 目录辅助函数
5.6 下载辅助函数
5.7 邮件辅助函数
5.8 文件辅助函数
5.9 表单辅助函数
5.10 HTML 辅助函数
5.11 Inflector 辅助函数
5.12 语言辅助函数
5.13 数字辅助函数
5.14 路径辅助函数
5.15 安全辅助函数
5.16 表情辅助函数(废弃)
5.17 字符串辅助函数
5.18 文本辅助函数
5.19 排版辅助函数
5.20 URL 辅助函数
5.21 XML 辅助函数

安全类

2017-12-03 19:59:33
linefo
609
最后编辑:linefo 于 2017-12-03 21:03:41

安全类

安全类包含了一些方法,用于安全的处理输入数据,帮助你创建一个安全的应用。

XSS 过滤

CodeIgniter comes with a Cross Site Scripting prevention filter, which looks for commonly used techniques to trigger JavaScript or other types of code that attempt to hijack cookies or do other malicious things. If anything disallowed is encountered it is rendered safe by converting the data to character entities.

使用 XSS 过滤器过滤数据可以使用 xss_clean() 方法:

$data = $this->security->xss_clean($data);

它还有一个可选的第二个参数 is_image ,允许此函数对图片进行检测以发现那些潜在的 XSS 攻击, 这对于保证文件上传的安全非常有用。当此参数被设置为 TRUE 时, 函数的返回值将是一个布尔值,而不是一个修改过的字符串。如果图片是安全的则返回 TRUE , 相反, 如果图片中包含有潜在的、可能会被浏览器尝试运行的恶意信息,函数将返回 FALSE 。

if ($this->security->xss_clean($file, TRUE) === FALSE)
{
    // file failed the XSS test
}

重要

If you want to filter HTML attribute values, use html_escape() instead!

跨站请求伪造(CSRF)

打开你的 application/config/config.php 文件,进行如下设置,即可启用 CSRF 保护:

$config['csrf_protection'] = TRUE;

如果你使用 表单辅助函数form_open() 函数将会自动地在你的表单中插入一个隐藏的 CSRF 字段。如果没有插入这个字段, 你可以手工调用 get_csrf_token_name()get_csrf_hash() 这两个函数。

$csrf = array(
    'name' => $this->security->get_csrf_token_name(),
    'hash' => $this->security->get_csrf_hash()
);

...

<input type="hidden" name="<?=$csrf['name'];?>" value="<?=$csrf['hash'];?>" />

令牌(tokens)默认会在每一次提交时重新生成,或者你也可以设置成在 CSRF cookie 的生命周期内一直有效。默认情况下令牌重新生成提供了更严格的安全机制,但可能会对 可用性带来一定的影响,因为令牌很可能会变得失效(例如使用浏览器的返回前进按钮、 使用多窗口或多标签页浏览、异步调用等等)。你可以修改下面这个参数来改变这一点。

$config['csrf_regenerate'] = TRUE;

另外,你可以添加一个 URI 的白名单,跳过 CSRF 保护(例如某个 API 接口希望接受 原始的 POST 数据),将这些 URI 添加到 'csrf_exclude_uris' 配置参数中:

$config['csrf_exclude_uris'] = array('api/person/add');

URI 中也支持使用正则表达式(不区分大小写):

$config['csrf_exclude_uris'] = array(
    'api/record/[0-9]+',
    'api/title/[a-z]+'
);

类参考

class CI_Security
xss_clean($str[, $is_image = FALSE])
参数:
  • $str (mixed) -- Input string or an array of strings
返回:

XSS-clean data

返回类型:

mixed

尝试移除输入数据中的 XSS 代码,并返回过滤后的数据。 如果第二个参数设置为 TRUE ,将检查图片中是否含有恶意数据,是的话返回 TRUE ,否则返回 FALSE 。

重要

This method is not suitable for filtering HTML attribute values! Use html_escape() for that instead.

sanitize_filename($str[, $relative_path = FALSE])
参数:
  • $str (string) -- File name/path
  • $relative_path (bool) -- Whether to preserve any directories in the file path
返回:

Sanitized file name/path

返回类型:

string

尝试对文件名进行净化,防止目录遍历尝试以及其他的安全威胁,当文件名作为用户输入的参数时格外有用。

$filename = $this->security->sanitize_filename($this->input->post('filename'));

如果允许用户提交相对路径,例如 file/in/some/approved/folder.txt ,你可以将第二个参数 $relative_path 设置为 TRUE 。

$filename = $this->security->sanitize_filename($this->input->post('filename'), TRUE);
get_csrf_token_name()
返回:CSRF token name
返回类型:string

返回 CSRF 的令牌名(token name),也就是 $config['csrf_token_name'] 的值。

get_csrf_hash()
返回:CSRF hash
返回类型:string

返回 CSRF 哈希值(hash value),在和 get_csrf_token_name() 函数一起使用时很有用,用于生成表单里的 CSRF 字段 以及发送有效的 AJAX POST 请求。

entity_decode($str[, $charset = NULL])
参数:
  • $str (string) -- Input string
  • $charset (string) -- Character set of the input string
返回:

Entity-decoded string

返回类型:

string

该方法和 ENT_COMPAT 模式下的 PHP 原生函数 html_entity_decode() 差不多,只是它除此之外,还会检测不以分号结尾的 HTML 实体,因为有些浏览器允许这样。

如果没有设置 $charset 参数,则使用你配置的 $config['charset'] 参数作为编码格式。

get_random_bytes($length)
参数:
  • $length (int) -- Output length
返回:

A binary stream of random bytes or FALSE on failure

返回类型:

string

这是一种生成随机字符串的简易方法,该方法通过按顺序调用 mcrypt_create_iv()/dev/urandomopenssl_random_pseudo_bytes() 这三个函数,只要有一个函数是可用的,都可以返回随机字符串。

用于生成 CSRF 和 XSS 的令牌。

注解

输出并不能保证绝对安全,只是尽量做到更安全。