Security 为什么要限制配置文件中的URI字符?
我正在使用干净的URL进行搜索。如果用户键入一个单引号,则表示不允许的URI字符。我知道如何在URL中启用字符。我想知道允许某些字符,如大括号、引号和其他字符的安全漏洞Security 为什么要限制配置文件中的URI字符?,security,codeigniter,codeigniter-url,Security,Codeigniter,Codeigniter Url,我正在使用干净的URL进行搜索。如果用户键入一个单引号,则表示不允许的URI字符。我知道如何在URL中启用字符。我想知道允许某些字符,如大括号、引号和其他字符的安全漏洞 我想通过解释或外部引用等任何方式了解这一点。我假设您所说的是URL的“查询字符串”部分,如果是这样的话,那么您的框架可能不允许使用这些字符来防止SQL注入类攻击,因为在您的代码中,您可能最终使用这些查询字符串值来构造SQL查询,然后boom,您的应用程序就是SQL注入的。我假设您谈论的是URL的“查询字符串”部分,如果是这样的话
我想通过解释或外部引用等任何方式了解这一点。我假设您所说的是URL的“查询字符串”部分,如果是这样的话,那么您的框架可能不允许使用这些字符来防止SQL注入类攻击,因为在您的代码中,您可能最终使用这些查询字符串值来构造SQL查询,然后boom,您的应用程序就是SQL注入的。我假设您谈论的是URL的“查询字符串”部分,如果是这样的话,那么您的框架可能不允许使用这些字符来防止SQL注入类攻击,因为在您的代码中,您可能最终使用这些查询字符串值来构造SQL查询,然后boom,您的应用程序就是SQL注入的。他说的是url的非查询字符串部分。查询字符串实际上不受Codeigniter中的字符限制的影响。像这样的输入无论如何都应该被清除,所以我不确定这是否是他们建议限制的唯一原因。+1因为这是一个很好的例子,但似乎一个好的开发人员不应该要求限制。从他们的话来看:“[限制存在]是为了帮助将恶意数据传递到应用程序的可能性降到最低”,我遇到问题的时候是在添加一个报价时。url编码干净的url是否可以防止在CI中引发该异常?@Jayapal url编码不应该触发错误,无论如何这是个好主意。他说的是url的非查询字符串部分。查询字符串实际上不受Codeigniter中的字符限制的影响。像这样的输入无论如何都应该被清除,所以我不确定这是否是他们建议限制的唯一原因。+1因为这是一个很好的例子,但似乎一个好的开发人员不应该要求限制。从他们的话来看:“[限制存在]是为了帮助将恶意数据传递到应用程序的可能性降到最低”,我遇到问题的时候是在添加一个报价时。url编码干净的url会防止在CI中引发该异常吗?@Jayapal url编码不应该触发错误,无论如何都是一个好主意。