CodeIgniterKullanım Kılavuzu Versiyon 1.7.2

Güvenlik

Bu sayfa web güvenliği ve codeIgniter güvenliği konusunu içermektedir.

URI Güvenliği

CodeIgniter bozuk verilerin en aza indirgenebilmesi için URI yazımında bazı özel karakterin kullanımını yasaklamıştır, URI yanlızca aşşağıdaki karakterleri içerebilir:

GET, POST, ve COOKIE verisi

Codeigniter'in URI yazımından doğan farklılıktan dolayı GET verisi kullanılamaz. (Eğer Get verilerine ihtiyaç duyuyorsanız config dosyasınan bunu ayarlayabilirsiniz). Global GET array'i sistem önyüklemesinde girdi sınıfı tarafından silinir (unset).

Register_globals

Sistem ön yüklemesi sırasında $_POST ve $_COOKIE değerleri haricindeki bütün global değerler bellekten silinir (unset) Değerlerin bellekten silinmesi register_globals=off tanımlaması ile aynı etkiyi gösterir.

magic_quotes_runtime

magic_quotes_runtime tanımlaması sistem önyüklemesi sırasında kapatıldığı için veritabanından gelen kayıtlar içerisindeki slash karakterini ayrıca temizlemenize gerek yoktur.

En iyi uygulama yöntemi

Dışardan gelen her veriyi (POST, COOKIE, URI Verisi veya XML-RPC , SERVER gibi) işlemeden önce aşşağıdaki 3. adımı uygulamaya özen gösterin:

  1. Veri doğruluğundan emin olun.
  2. Verinin istediğiniz tipte, uzunlukta veya büyüklükte olduğundan emin olun. (Bu adım bazen 1. adımın değişmesine neden olabilir).
  3. Veritabanına yazmadan önce verinin özek karakterler veya kodlar içermediğinden emin olun (Sql injection, XSS gibi).

CodeIgniter güvenlik adımların uygulanmasına yardım etmek için araçlar sunar :