codeigniter3所有请求参数进行html代码转义,防止XSS攻击

原创 已于 2025-11-07 15:29:46 修改 · 146 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #php #codeigniter3

于 2025-11-07 10:37:27 首次发布

       ci3的项目,如表单填写了<script>alert(123);</script>,然后提交,就会把这段代码存储到mysql数据库。需要用htmlspecialchars进行转义,如双引号(")、尖括号(<、>),或进行实体转换,如将"<"转换为"&lt;",">"转换为"&gt;“存储。

        两个步骤解决:

1、定义hooks(钩子)事件,application/config/hooks.php添加下面代码:

$hook['pre_controller'] = function() {
    // 获取所有 GET 和 POST 参数
    $params = array_merge($_GET, $_POST);
    // 对所有参数进行 HTML 转义
    foreach ($params as $key => $value) {
        if (is_array($value)) {
            $_GET[$key] = array_map('htmlspecialchars', $value);
            $_POST[$key] = array_map('htmlspecialchars', $value);
        } else {
            $_GET[$key] = htmlentities($value);
            $_POST[$key] = htmlentities($value);
        }
    }
};

2、启用钩子,application/config/config.php修改

$config['enable_hooks'] = TRUE;

就可以了,另外其它常用的钩子事件如下,可以根据需要使用:

Codelgniter 提供了多个预定义的执行点(即钩子事件),你可以在这些时机运行自定义逻辑。常用钩子事件包括
pre_system:系统完全启动之前执行,此时控制器还未加载
post system:请求结束后执行,页面输出完成后触发
pre controller:控制器加载之前执行
post_controller:控制器方法执行后、输出发送前触发
post controller constructor:控制器构造函数执行之后运行

最后注意,如果页面需要用ueditor等富文本展示已转义的内容,必须使用htmlspecialchars_decode解析转义。如:

<!-- 加载编辑器的容器 -->
<script id="ueditor" name="content" type="text/plain"><?php echo htmlspecialchars_decode($article['content']); ?></script>

michaelzhouh
关注
第二章,requests
weixin_45973213的博客
05-11 162
网页采集器 需求:爬取搜狗指定词条对应的结果页面 UA检测 UA伪装 破解百度翻译 import requests import json if __name__=='__main__': # 1.指定url post_url="https://fanyi.baidu.com/sug" # 2.进行UA伪装 headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) App
CodeIgniter过滤HTML危险代码
jazywoo_在路上
07-31 1958
CodeIgniter过滤HTML危险代码的方法其实有好几种: 1.可以选择使用htmlspecialchars()方法过滤。 2.可以将config文件夹下面的config.php文件中的$config['global_xss_filtering'] = FALSE;设置为:$config['global_xss_filtering'] = true;但是这样设置后会加大服务器的开销
关于codeigniter xss进攻和sql注入的防范问题
weixin_38710804的博客
01-31 798
XSS过滤 输入类可以自动的对输入数据进行过滤,来阻止跨站脚本攻击。如果你希望在每次遇到 POST 或 COOKIE 数据时自动运行过滤,你可以在 application/config/config.php 配置文件中设置如下参数: $config['global_xss_filtering'] = TRUE; 或者自动设置get和post方法的第二个参数为true,则对输入的参数进行XS...
codeigniter代码分析 -安全类 Security.php
fanyilong的专栏
04-28 1131
Security 安全类主要是对 url 内容进行 xss 攻击的过滤 很多匹配格式 建议阅读之前先巩固下正则的知识 主要的 xss_clear 方法 其中的处理流程如下: _validate_entities  对url进行实体编码的调整 _convert_attribute 对标签 属性=值 形式字符串中的 \ 字符进行实体转换 _decode_entity 对HTML实体解码 实
codeigniter代码分析之输入类 Input.php
fanyilong的专栏
04-28 1105
输入类主要是读取、处理客户端发送过来的httpto
php codeigniter安全,phpcodeigniter中的安全性
weixin_33089345的博客
03-21 148
下午好,我对CodeIgniter的安全性有一些疑问,首先是:我有一个控制器:news.php,其中有一个名为view的方法例:class News extends CI_Controller{public function view( $id ){$this->load->model('news_model');$this->news_model->get_by_id( ...
CodeIgniter4安全审计:保护你的应用免受常见攻击的终极指南
gitblog_00207的博客
12-05 871
CodeIgniter4作为流行的PHP框架,内置了强大的安全机制来保护你的Web应用。通过本文的完整安全审计指南,你将学会如何配置和验证框架的安全功能,确保应用免受CSRF攻击XSS注入、SQL注入等常见威胁。🚀 ## 为什么CodeIgniter4安全审计如此重要 在当今网络安全威胁日益严峻的环境下,CodeIgniter4提供了多层次的安全防护体系。从输入验证到输出过滤,从会话管理到
PHP代码审计18—PHP代码审计小结
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-25 3843
阶段性小结
CodeIgniter笔记
hjjhce的博客
06-24 1804
1.架构:  m:数据模型,数据模型就是对你的数据库或其他数据存储方式进行取回、插入和更新的地方。  v:视图  c:控制器  view:可以按模块创建不同的文件夹,然后把对应的视图放在对应的文件夹里面.template里放进header.php和footer.php。在控制器加载的时候,依次加载header.php,home.php,footer.php。  
CodeIgniter框架过滤HTML危险代码
12-19
在Web开发中,确保应用程序的安全性至关重要,尤其是防止跨站脚本(XSS)攻击CodeIgniter是一个流行的PHP框架,它提供了内置的安全机制来帮助开发者处理这类问题。本篇文章将详细探讨CodeIgniter如何过滤HTML中的...
Login-CIAPP:登录和注册页面CodeIgniter 3
05-24
10. **安全最佳实践**:项目应遵循安全最佳实践,例如防止SQL注入、XSS攻击和CSRF(跨站请求伪造)。CodeIgniter提供了一些内置的安全功能,如自动转义输出、CSRF保护等。 在"Login-CIAPP-master"文件夹中,可能...
CodeIgniter v3.1.9
10-12
4. **安全和防止跨站脚本攻击XSS)**:CodeIgniter内置了安全机制,如自动转义输出以防止XSS攻击,以及输入过滤和安全库,确保应用的数据安全。 5. **URL友好的路由系统**:CodeIgniter的路由系统允许开发者...
PHP过滤HTML代码提升程序安全性
"在PHP中,过滤HTML代码是提高程序安全性的重要措施,可以防止XSS(跨站脚本攻击)和其他恶意注入。本文介绍了两种用于过滤HTML代码的函数,以确保用户输入的数据在显示时不会执行有害的JavaScript或其他恶意代码。...
从入门到实战:XSS 跨站脚本攻击完全指南
shou10jin的博客
12-21 536
XSS 的本质是Web 应用对用户输入的信任度过高,未做安全过滤与转义,导致恶意 JavaScript 代码在受害者浏览器中执行。正常情况下,用户输入的内容会被 Web 应用当作普通文本渲染;而存在 XSS 漏洞时,用户输入的<script>等标签会被当作合法代码解析执行。通过本文的学习,你已经掌握了 XSS 的核心原理、实战利用和防御方案。高级绕过技巧:针对 WAF(Web 应用防火墙)的绕过、多上下文 XSS(如 JS 上下文、CSS 上下文)的利用。XSS 与其他漏洞结合。
pdf-xss文件制作过程
优快云Romance的博客
12-19 210
摘要:本文演示了利用福昕PDF编辑器在PDF文件中嵌入JavaScript代码(如XSS弹窗代码)的安全风险。当使用浏览器打开含恶意脚本的PDF时,可能触发安全漏洞。防范措施包括关闭PDF JavaScript功能、使用可信阅读器、验证文档签名等。研究表明,恶意PDF文档可能通过多种方式造成安全隐患,用户应谨慎处理来源不明的PDF文件以降低风险。(149字)
XSS 跨站脚本攻击3 种类型(存储型 / 反射型 / DOM 型)原理以 DVWA 靶场举例
m0_73165198的博客
12-17 1128
本文从基础原理出发,拆解了反射型、存储型、DOM 型三种 XSS 攻击的核心逻辑与攻击链路,并基于 DVWA 靶场完成了 Low级别的实战复现。通过代码审计发现,低级别防护的核心缺陷是 “无过滤 / 简单字符串替换”,导致基础 Payload 可直接生效。基础级防御的核心是 “输入验证 + 输出编码”,配合 CSP 策略可大幅降低 XSS 风险。本文仅覆盖 XSS 基础原理与靶场实操,未涉及高级绕过、框架级防御等内容,旨在帮助入门者理解 XSS 的本质与基础防护思路。
XSS-Game靶场教程
最新发布
Zx244349115的博客
12-22 598
XSS挑战赛通关分析摘要 本文分析了8个XSS挑战关卡(level1-level8)的绕过方法。各关卡主要考察不同的过滤机制。
XSS的原理、使用、防御方法及练习题
小阿宁的猫猫
12-19 819
XSS(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本到网页中,利用浏览器执行这些脚本窃取用户信息或进行其他恶意操作。XSS分为反射型、存储型和DOM型三种类型,主要危害包括窃取Cookie、挂马、钓鱼攻击等。防御措施包括字符实体化、关键字过滤和去除尖括号。比赛中应该如何去探测漏洞。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值