最近寫個系統,沒有安全過濾輸入的,想採用CI的輸入類,分析了下,有三個文件是需要的system/core下的
utf8.php,security.php,input.php
可以整合成一個文件,但是比較麻煩,還是用三個文件吧,這樣省事點。
使用的時候就像這樣:
//實例化安全輸入類
$UNI = new utf8();
$SEC = new security();
$input = new input();
然後就是$username = $input->post('username')這樣的形式。
當然裏面要修改一些配置變量,像$cookiepath,$cookieprefix,$cookiedomain,$cookiesecure等;
但是還有個關鍵的配置,$this->_enable_csrf = FALSE; 這個變量 對應 var $_enable_csrf = FALSE;默認是false的,如果你設置成了TRUE,
這樣會在url後面加_csrf_token_name的鍵值對,因爲會在下面的代碼中檢查這個
要求還必須有_csrf_cookie_name的cookie值。
參考:
在CI 2.0中有一個csrf(Cross Site Request Forgery) protection的功能
如果打開這個功能的話
post表單給server 會吐 error 500
An Error Was Encountered
The action you have requested is not allowed.
會無法執行
這時候要在表單傳送的數值中加入一個token的值
才能正常使用表單功能
可以在application/config/config.php中找到下面這幾行
1
2
3
4
|
$config [ 'csrf_protection' ] = TRUE; $config [ 'csrf_token_name' ] =
'csrf_test_name' ; $config [ 'csrf_cookie_name' ] =
'csrf_cookie_name' ; $config [ 'csrf_expire' ] = 7200; |
原本$config[‘csrf_protection’]預設是FALSE 改成TRUE就可以打開了
開啟之後 會自動幫你在cookie中存一個值
cookie的name在上面說的config.php中可以設定
之後傳送表單就要連這個token一起傳才行
以下用jquery的ajax功能示範
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
$( function (){ $( '#btn' ).click( function (){ $.ajax({ type: 'POST' ,url: '/ajax'
//ajax接收的server端 ,data:$( '#form' ).serialize()+ '&csrf_test_name=' +
getCookie( 'csrf_test_name' ) ,success: function (data){ alert(data.msg); } ,dataType: 'json' }); }); }); function
getCookie(name){ var
arr = document.cookie.match( new
RegExp( "(^| )" +name+ "=([^;]*)(;|$)" )); if (arr !=
null )
return
unescape(arr[2]); return
null ; } |
getCookie()是用js取出cookie的值
這是在網路上找到的 可以直接拿去用
而csrf_test_name就是在config.php中可以設定的參數
將這個cookie抓出來一起送出表單
就可以正常使用了
有任何指教歡迎留言~
referer : http://ericlbarnes.com/blog/post/codeigniter_csrf_protection_with_ajax