最近写个系统,没有安全过滤输入的,想采用CI的输入类,分析了下,有三个文件是需要的system/core下的
utf8.php,security.php,input.php
可以整合成一个文件,但是比较麻烦,还是用三个文件吧,这样省事点。
使用的时候就像这样:
//实例化安全输入类
$UNI = new utf8();
$SEC = new security();
$input = new input();
然后就是$username = $input->post('username')这样的形式。
当然里面要修改一些配置变量,像$cookiepath,$cookieprefix,$cookiedomain,$cookiesecure等;
但是还有个关键的配置,$this->_enable_csrf = FALSE; 这个变量 对应 var $_enable_csrf = FALSE;默认是false的,如果你设置成了TRUE,
这样会在url后面加_csrf_token_name的键值对,因为会在下面的代码中检查这个
要求还必须有_csrf_cookie_name的cookie值。
参考:
在CI 2.0中有一个csrf(Cross Site Request Forgery) protection的功能
如果打开这个功能的话
post表单给server 会吐 error 500
An Error Was Encountered
The action you have requested is not allowed.
会无法执行
这时候要在表单传送的数值中加入一个token的值
才能正常使用表单功能
可以在application/config/config.php中找到下面这几行
|
1
2
3
4
|
$config['csrf_protection'] = TRUE;$config['csrf_token_name'] =
'csrf_test_name';$config['csrf_cookie_name'] =
'csrf_cookie_name';$config['csrf_expire'] = 7200; |
原本$config[‘csrf_protection’]预设是FALSE 改成TRUE就可以打开了
开启之后 会自动帮你在cookie中存一个值
cookie的name在上面说的config.php中可以设定
之后传送表单就要连这个token一起传才行
以下用jquery的ajax功能示范
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
$(function(){ $('#btn').click(function(){ $.ajax({ type:'POST' ,url:'/ajax'
//ajax接收的server端 ,data:$('#form').serialize()+'&csrf_test_name='+
getCookie('csrf_test_name') ,success:function(data){ alert(data.msg); } ,dataType:'json' }); });});function
getCookie(name){ var
arr = document.cookie.match(new
RegExp("(^| )"+name+"=([^;]*)(;|$)")); if(arr !=
null)
return
unescape(arr[2]); return
null;} |
getCookie()是用js取出cookie的值
这是在网路上找到的 可以直接拿去用
而csrf_test_name就是在config.php中可以设定的参数
将这个cookie抓出来一起送出表单
就可以正常使用了
有任何指教欢迎留言~
referer : http://ericlbarnes.com/blog/post/codeigniter_csrf_protection_with_ajax