阅读原文:http://www.yzswyl.cn/blread-1606.html
一般情况下我们只要使用AR和开启xss就可以防止了。实现方法:
1.开启xss
$config['global_xss_filtering']= TRUE;
2.使用AR
也许你会问AR是什么?参考ci手册,请看下图:
相信你应该明白了。
那么有的朋友会说为什么我都用了还是有注入呢?那么你就要分析其他方面的漏洞了。
因为如果你全部使用了AR,那么你传进去的都是些“表名,条件”之类的参数,如果是sql注入的话这些参数传进去会是失效的,比如:$this->db->get('table');如果把table换成"select * from admin"它会执行成功吗?以上只是个人想法,不正确的还请指正。