0
我一直在使用CodeIgniter,用下面的代碼創建一個數據輸入表單。我將POST作爲POST發送給welcome控制器的get_data方法。
像這樣可以提供這種形式的動作是脆弱的嗎?還有其他方法嗎? 將數據發佈到codeigniter中的方法,安全的風險?
<form id='form' action="<?php echo base_url("welcome/get_data"); ?>" method="POST" style="display:inline;"> \t \t \t
\t <div class="form-group">
\t \t <div class="col-md-6">
\t \t <label class="col-md-3">First Name :</label><input class="col-md-3" type="text" name='fname' ></input>
\t \t </div>
\t \t <div class="col-md-6">
\t \t <label class="col-md-3">Middle Name :</label><input class="col-md-3" type="text" name='mname' ></input>
\t \t </div>
\t </div>
\t <div class="form-horizontal">
\t \t <div class="col-md-6">
\t \t <label class="col-md-3">Last Name :</label><input class="col-md-3" type="text" name='lname' ></input>
\t \t </div>
\t \t <div class="col-md-6">
\t \t <label class="col-md-3">Mobile No. :</label><input class="col-md-3" type="text" name='Mno' ></input>
\t \t </div>
\t </div> \t \t
\t <div class="form-horizontal">
\t \t <div class="col-md-6">
\t \t \t <label class="col-md-3">Pin Code : </label><input class="col-md-3" type="text" name='Pcode' ></input>
\t \t </div>
\t \t <div class="col-md-6">
\t \t \t <label class="col-md-3">Country : </label><input class="col-md-3" type="text" name='Coun'></input>
\t \t </div>
\t </div>
\t <div class="form-group">
\t \t <div class="col-md-6">
\t \t \t <label class="col-md-3">State : </label><input class="col-md-3" type="text" name='St'></input>
\t \t </div>
\t \t <div class="col-md-6">
\t \t \t <label class="col-md-3">Email : </label><input class="col-md-3" type="text" name='email'></input><br>
\t \t </div>
\t </div><br>
\t \t \t <input class="class-md-3 col-md-offset-4" type="submit" value="Save"/>
\t </div>
</form>我也可以用這個 - $>輸入>後()直接插入數據庫中的數據,是Mysql的注射證明嗎?
我很困惑你試圖問,但'$ this-> input-> post(NULL,TRUE); //使用XSS過濾器返回所有POST項目 '$ this-> input-> post(); //返回沒有XSS過濾器的所有POST項目 – Linus
$ this-> input> post()不保證針對sql注入,因爲您必須使用活動記錄或CI的查詢生成器類 – Linus