#security #codeigniter #codeigniter-url
#Безопасность #codeigniter #codeigniter-url
Вопрос:
Я использую чистый URL для поиска. Если пользователь вводит одинарную кавычку, это говорит о недопустимом символе URI. И я знаю, как включить символ для отображения в URL. Я хочу знать уязвимости безопасности при разрешении определенных символов, таких как фигурные скобки, кавычки и другие?
Я хочу узнать это любым способом, таким как объяснение или внешние ссылки.
Ответ №1:
Я предполагаю, что вы говорите о части URL-адреса «строка запроса», если это так, то ваша платформа, вероятно, запрещает эти символы, чтобы предотвратить атаки типа SQL inject, поскольку в вашем коде вы можете в конечном итоге использовать эти значения строки запроса для построения SQL-запроса, и бум, ваше приложение использует SQL injected.
Комментарии:
1. Он говорит о части URL, не относящейся к query_string. На строку запроса фактически не влияет ограничение символов в Codeigniter. Подобный ввод в любом случае следует очищать, поэтому я не уверен, что это была бы единственная причина, по которой они предложили бы ограничение.
2. 1 Потому что это хороший пример, но все равно кажется, что хороший разработчик не должен требовать ограничения. С их слов: «[ограничение существует] для того, чтобы помочь свести к минимуму вероятность того, что вредоносные данные могут быть переданы в ваше приложение»
3. Я столкнулся с проблемой, когда добавил одинарную кавычку. Будет ли URL, кодирующий чистый URL, предотвращать создание этого исключения в CI?
4. Кодировка URL @Jayapal не должна вызывать ошибку и в любом случае является хорошей идеей.