security.html 7.4 KB

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129
  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
  2. <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="utf-8" lang="utf-8">
  3. <head>
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  5. <meta name="viewport" content="width=device-width, initial-scale=1, user-scalable=0" />
  6. <title>安全类 - CodeIgniter 中文手册|用户手册|用户指南|Wiki文档</title>
  7. <link rel="shortcut icon" href="http://codeigniter.org.cn/user_guide/../images/design/favicon.ico" type="image/x-icon" />
  8. <link rel="stylesheet" type="text/css" media="all" href="../userguide.css" />
  9. <link rel="search" href="http://codeigniter.org.cn/user_guide/../CodeIgniterSearch.xml" type="application/opensearchdescription+xml" title="CodeIgniter 搜索"/>
  10. <link rel="canonical" href="http://codeigniter.org.cn/user_guide/libraries/security.html" />
  11. <script type="text/javascript" src="../nav/mootools.js-ver=20130324.js"></script>
  12. <script type="text/javascript" src="../nav/mootools-more.js-ver=20130324.js"></script>
  13. <script type="text/javascript" src="../nav/nav.js-ver=20130324.js"></script>
  14. <script type="text/javascript" src="../nav/user_guide_menu.js-ver=20130324.js"></script>
  15. <meta name="robots" content="all" />
  16. <meta name="author" content="ExpressionEngine Dev Team" />
  17. <meta name="description" content="CodeIgniter 中文手册, CodeIgniter 用户指南, CodeIgniter User Guide, Wiki 文档" />
  18. </head>
  19. <body>
  20. <!-- START NAVIGATION -->
  21. <div id="nav">
  22. <div id="nav_inner">
  23. <script type="text/javascript">create_menu('../');</script>
  24. </div>
  25. </div>
  26. <script type="text/javascript">_setNavigation();</script>
  27. <div id="nav2"><a name="top"></a><a href="javascript:void(0);" onclick="myHeight.toggle();"><img src="../images/nav_toggle_darker.jpg" width="154" height="43" border="0" title="切换目录" alt="切换目录" /></a></div>
  28. <div id="masthead" class="clearfix">
  29. <div class="topbar-hd"><h1>CodeIgniter 用户指南 版本 2.2.0</h1></div>
  30. <div class="topbar-tip">编辑文档、查看近期更改请 <a href="#">登录</a> 或 <a href="#">注册</a>  <a href="#">找回密码</a></div> <div id="breadcrumb_right"><a href="../toc.html">目录页</a></div>
  31. </div>
  32. <!-- END NAVIGATION -->
  33. <!-- START BREADCRUMB -->
  34. <table cellpadding="0" cellspacing="0" border="0" style="width:100%">
  35. <tr>
  36. <td id="breadcrumb">
  37. <a href="#" target="_blank">CodeIgniter 中国首页</a>&nbsp;&#8250;&nbsp;
  38. <a href="../index.html">用户指南首页</a>&nbsp;&#8250;&nbsp;安全类 </td>
  39. <td id="searchbox">
  40. <form method="get" action="http://www.google.com.hk/search" target="google_window">
  41. <input type="hidden" name="client" value="pub-0176846097796333"></input>
  42. <input type="hidden" name="forid" value="1"></input>
  43. <input type="hidden" name="ie" value="UTF-8"></input>
  44. <input type="hidden" name="oe" value="UTF-8"></input>
  45. <input type="hidden" name="as_sitesearch" id="as_sitesearch" value="codeigniter.org.cn/user_guide/" />
  46. 搜索用户指南&nbsp;
  47. <input type="text" class="input" style="width:200px;" name="q" id="q" size="31" maxlength="255" value="" />
  48. &nbsp;
  49. <input type="submit" class="submit" name="sa" value="Go" />
  50. </form>
  51. </td>
  52. </tr>
  53. </table>
  54. <!-- END BREADCRUMB -->
  55. <div style="clear:both;text-align:right;padding: 6px 40px 0 0;">
  56. <a href="#" target="_blank">查看原文</a>
  57. </div>
  58. <!--<br clear="all" />--><!-- START CONTENT -->
  59. <div id="content">
  60. <h1>安全类</h1>
  61. <p>安全类包含一些方法,能帮助您创建安全的应用程序,对输入的数据进行安全方面的处理.</p>
  62. <h2>XSS 过滤</h2>
  63. <p> CodeIgniter 包含了跨站脚本攻击的防御机制,它可以自动地对所有POST以及COOKIE数据进行过滤,或者您也可以针对单个项目来运行它。默认情况下,它 <strong>不会</strong>
  64. 全局运行,因为这样也需要一些执行开销,况且您也不一定在所有情况下都用得到它.</p>
  65. <p>XSS过滤器会查找那些常被用来触发JavaScript或者其他类型的企图劫持cookie或进行其它恶意行为的代码. 如果发现任何不允许的内容,它将把那些内容转换为字符实体,以确保安全.
  66. </p>
  67. <p>
  68. 注意: 此函数只应该用来处理那些提交过来的数据. 它不适合在常规运行时使用,因为它执行时的开销也是不容忽视的.</p>
  69. <p>要使用XSS过滤器对数据进行过滤,请使用此函数:</p>
  70. <h2>$this-&gt;security-&gt;xss_clean()</h2>
  71. <p>下面是一个使用实例:</p>
  72. <code>$data = $this-&gt;security-&gt;xss_clean($data);</code>
  73. <p>如果你希望过滤器能自动过滤所有被访问到的POST或者COOKIE数据,请打开你的 <kbd>application/config/config.php</kbd> 文件,进行如下设置即可启用自动过滤:</p>
  74. <code>$config['global_xss_filtering'] = TRUE;</code>
  75. <p>说明: 如果你使用表单验证类,同样也有XSS过滤的选项.</p>
  76. <p>第二个可选的参数, <dfn>is_image</dfn>, 允许此函数对图片进行检测以发现那些潜在的 XSS 攻击, 这对于保证文件上传的安全非常有用. 当此参数被设置为 <dfn>TRUE</dfn> 时, 此函数的返回值不是一个修改过的字符串而是一个布尔值, 如果图片是安全的则返回 TRUE, 相反, 如果图片中包含有潜在的、可能会被浏览器尝试运行的恶意信息, 函数将返回FALSE.</p>
  77. <code>if ($this-&gt;security-&gt;xss_clean($file, TRUE) === FALSE)<br />
  78. &#123;<br />
  79. &nbsp;&nbsp;&nbsp;&nbsp;// file failed the XSS test<br />
  80. &#125;</code>
  81. <h2>$this-&gt;security-&gt;sanitize_filename()</h2>
  82. <p>当接受用户所输入的文件名时, 最好是对它们进行一下“消毒”, 这样能避免目录被遍历以及其它安全相关的问题. 要完成这项工作, 请使用安全类中的 <dfn>sanitize_filename()</dfn> 方法. 下面是一个实例:</p>
  83. <code>$filename = $this-&gt;security-&gt;sanitize_filename($this-&gt;input-&gt;post('filename'));</code>
  84. <p>如果你允许用户所输入的内容中包含有相对路径,例如 <kbd>file/in/some/approved/folder.txt</kbd>, 你可以把第二个可选参数 <samp>$relative_path</samp> 设置为TRUE.</p>
  85. <code>$filename = $this-&gt;security-&gt;sanitize_filename($this-&gt;input-&gt;post('filename'), TRUE);</code>
  86. <h2>跨站请求伪造(Cross-site request forgery,CSRF)</h2>
  87. <p>打开你的 <kbd>application/config/config.php</kbd> 文件,进行如下设置,即可启用 csrf 保护:</p>
  88. <code>$config['csrf_protection'] = TRUE;</code>
  89. <p>如果你使用 <a href="../helpers/form_helper.html">表单辅助函数</a>, <var>form_open()</var> 函数将会自动地在你的表单中插入一个隐藏的csrf字段.</p><p>&nbsp;</p>
  90. <div id="Contributors">
  91. 翻译贡献者:
  92. Hex, yinzhili</div>
  93. <div id="DocDate">
  94. 最后修改: 2011-02-13 08:21:49</div>
  95. </div>
  96. <!-- END CONTENT -->
  97. <div id="footer">
  98. <p>
  99. 上一个主题:&nbsp;&nbsp;<a href="pagination.html">分页类</a>&nbsp;&nbsp;&middot;&nbsp;&nbsp;<a href="#top">页首</a>
  100. &nbsp;&middot;&nbsp;&nbsp;<a href="../index.html">用户指南首页</a>&nbsp;&nbsp;&middot;&nbsp;&nbsp;下一个主题:&nbsp;&nbsp;<a href="sessions.html">Session 类</a> </p>
  101. <p><a href="#">CodeIgniter</a> &nbsp;&middot;&nbsp; 版权所有 &#169; 2006-2013 &nbsp;&middot;&nbsp; <a href="#">Ellislab, Inc.</a></p>
  102. <p>中文化: <a href="#">CodeIgniter 中国</a> &nbsp;&middot;&nbsp; 制作: Hex &nbsp;&middot;&nbsp; 版本: 1.30 &nbsp;&middot;&nbsp; 鸣谢: 子非鱼</p>
  103. </div>
  104. </body>
  105. </html>