Php CodeIgniter应用程序启动的安全检查表_Php_Security_Codeigniter_Xss_Csrf

Php CodeIgniter应用程序启动的安全检查表

php security codeigniter

Php CodeIgniter应用程序启动的安全检查表,php,security,codeigniter,xss,csrf,Php,Security,Codeigniter,Xss,Csrf,在启动CodeIgniter应用程序之前，是否有人知道良好的安全检查表。我们已经测试了已知的PHP安全缺陷，并想知道在启动CodeIgniter应用程序时是否需要采取任何措施客户特别要求我们基于CI框架构建应用程序，我们已经完成了不错的PHP安全测试基本上，如果我们的CI配置设置中存在配置，是否有一系列可能会导致问题的事情需要检查？主要的三种攻击是： SQL注入攻击：确保不使用非参数化SQL查询 XSS攻击：确保所有最终返回到任何位置的用户内容的标签都被正确剥离（例如使用XSS_clean

在启动CodeIgniter应用程序之前，是否有人知道良好的安全检查表。我们已经测试了已知的PHP安全缺陷，并想知道在启动CodeIgniter应用程序时是否需要采取任何措施

客户特别要求我们基于CI框架构建应用程序，我们已经完成了不错的PHP安全测试

基本上，如果我们的CI配置设置中存在配置，是否有一系列可能会导致问题的事情需要检查？

主要的三种攻击是：

SQL注入攻击：确保不使用非参数化SQL查询

XSS攻击：确保所有最终返回到任何位置的用户内容的标签都被正确剥离（例如使用

XSS_clean

作为格式修改器）

CSRF攻击：对所有发送的表单使用CI的CSRF保护令牌

还要确保身份验证机制已就位

如果没有问题，请检查您的PHP版本的已知错误，并可能升级您的服务器以使用最新的可用漏洞。

主要的三种攻击是：

SQL注入攻击：确保不使用非参数化SQL查询

XSS攻击：确保所有最终返回到任何位置的用户内容的标签都被正确剥离（例如使用

XSS_clean

作为格式修改器）

CSRF攻击：对所有发送的表单使用CI的CSRF保护令牌

还要确保身份验证机制已就位

如果没有问题，请检查您的PHP版本的已知错误，并可能升级您的服务器以使用最新版本。

您已经阅读了吗？您已经阅读了吗？我想说的一点是，xss_clean是一个输入过滤器，这不是处理xss的正确方法，这是一个输出问题。如果用户可能插入了危险字符，请在视图中使用htmlentities（在适当的情况下使用ENT_QUOTE…

htmlentities

，如果您想限制所有危险字符（如

，

）。如果你想让用户进行一些格式化，那么你必须找到另一种方法，并且要更加小心，这样不会让用户进行XSS攻击。我要说的一点是，XSS_clean是一个输入过滤器，这不是处理XSS的正确方法，这是一个输出问题。如果用户可能插入了危险字符，请在视图中使用htmlentities（在适当的情况下使用ENT_QUOTE…

htmlentities

，如果您想限制所有危险字符（如

，

）。如果你想让用户做一些格式化，那么你必须找到另一种方式，并且要更加小心，这不会让他做XSS攻击。