我真的不知道如何为这个问题命名,但它开始了。我总是使用CodeIgntier的表单验证类来验证我的表单信息。在我的申请中,有一些表格供其他注册成员使用。例如,如果有人想在博客文章上发表评论,他们会使用该文章的表单。
如果我的控制器是:
class博客扩展了CI_Controller{函数postcomment($blog_id){if($this->form_validation->run('comment')==FALSE){$this->parser->parse('comment_form.tpl',$data);}其他{$this->blog_post->create_comment($blog_id);}}}
我的型号是…
类Blog_Post扩展CI_Model{函数create_comment($blog_id){$data=数组('title'=>$this->input->post('title'),'content'=>$this->input->post('content'),'date'=>时间());$this->db->insert('blog_comments',$data);}
在实际插入信息之前,是否需要使用preg_match、strlen、isset等来验证信息?
这取决于您的需求,而CI的form validation
确实提供regex,unique,max_length,isset .. etc
验证。
如果您有任何自定义验证,如计算或百分比>而不是输入编号s,它还提供callback
函数来验证总额,这取决于您的需求
一些主要的验证规则是
cascadingrules
准备数据
回调
以下是您需要通过form_validation
即使是Codeigniter也已经实现了安全性。执行以下各项仍然是最佳做法;
- 过滤数据,就好像它被污染了一样。(使用xss筛选)
- 验证数据以确保其符合正确的类型、长度、大小等(有时此步骤可以取代第一步)
- 在将数据提交到数据库之前对其进行转义
我在这里读到的http://ellislab.com/codeigniter/user-guide/general/security.html.
但如果您以前使用form_validation验证插入后发送的数据
我应该启用XSS吗?
$this->input->post('ny_input',TRUE);
//campos de la tabla y datos a insertar
$dataUsuario = array(
'matr_user' => 'guest-'.date("whis"),//hora-min-seg-dia
'pass_user' => $passHash,
'nom_user' => capitalizar($this->input->post('tx_nom')),
'ap_user' => capitalizar($this->input->post('tx_ap')),
'am_user' => capitalizar($this->input->post('tx_am')),
'sex_user' => $this->input->post('tx_sex'),
'nomfull' => $nom_completo,
'fnaci_user' => $this->input->post('tx_naci'),
'curp_user' => $this->input->post('tx_curp'),
'callenum_user' => capitalizar($this->input->post('tx_calle')),
'col_user' => capitalizar($this->input->post('tx_col')),
'cp_user' => $this->input->post('tx_cp'),
'ciud_user' => capitalizar($this->input->post('tx_city')),
'estad_user' => capitalizar($this->input->post('tx_estado')),
'fech_ins_user' => $this->fecha_server(),
'time_ins_user' => $this->hora_server(),
'ip_ins_user' => $this->ip_usuario(),
'operador_ins_user' => $this->session->userdata('username'),
'fech_upd_user' => '0000-00-00',
'time_upd_user' => '00:00:00',
'ip_upd_user' => '0',
'operador_upd_user' => 'sinuser'
);
//inicia transacciones
$this->db->trans_start();
//insertamos datos
//llamamos al metodo del modelo que realiza las inserciones
$consulta_idUser = $this->usuario->create_usuario($dataUsuario);