私はcodeigniterを使用していますが、セキュリティのセクションでは次のことを提案しています。データをデータベースに送信する前にエスケープしてください。データをエスケープしてデータベースに挿入しないと、何が問題になる可能性がありますか(リスクは何ですか?)
私がそれをエスケープしていないと本当に間違ってしまうことがありますが、リスクは何ですか?
ありがとうございます。
私はcodeigniterを使用していますが、セキュリティのセクションでは次のことを提案しています。データをデータベースに送信する前にエスケープしてください。データをエスケープしてデータベースに挿入しないと、何が問題になる可能性がありますか(リスクは何ですか?)
私がそれをエスケープしていないと本当に間違ってしまうことがありますが、リスクは何ですか?
ありがとうございます。
でこの質問をしているはずですが、私はグローバルXSSフィルタリングを有効にしていると私は、あなたにマリクをありがとうアクティブなレコードを使って、$ this-> db-> escape()を使う必要がありますか? – user3213841
あなたはすべていいです。最初の回答を読むhttp://stackoverflow.com/questions/13125707/codeigniter-active-record-when-to-escape-if-at-all –
もう一度ありがとうございます。 – user3213841
あなたがアクティブレコードを使用している場合は、データベースに挿入する前にデータをエスケープする必要はありません。あなたはまだそれを検証する必要があります。
後でビューの値をecho()/ print()すると、XSS:$ this-> security-> xss_clean()を回避するためにエスケープする必要があります。
グローバルXSSフィルタリングは廃止され、今後は使用しないでください。
アプリケーションにフォームがある場合は、設定でCSRF保護を有効にする必要があります。
あなたがここでこのすべての詳細を読むことができます:https://codeigniter.com/user_guide/general/security.html
グローバルXSSフィルタリングの廃止を指摘していただきありがとうございます@ versalle88。 – user3213841
をあなたはhttps://security.stackexchange.com –