CI框架安全类Security.php源码分析
之前我们分析了CI框架的session类session.php,本文我们继续分析CI框架的安全类security.php文件,方便我们更详细的了解CI框架,从而更熟练的应用CI框架
CI安全类提供了全局防御CSRF攻击和XSS攻击策略,只需要在配置文件开启即可:
复制代码 代码如下:
$config['csrf_protection'] = TRUE;
$config['global_xss_filtering'] = TRUE;
并提供了实用方法:
复制代码 代码如下:
$this->security->xss_clean($data);//第二个参数为TRUE,验证图片安全
$this->security->sanitize_filename()//过滤文件名
CI也提供了安全函数:
xss_clean()//xss过滤
sanitize_filename()//净化文件名
do_hash()//md5或sha加密
strip_image_tags() //删除图片标签的不必要字符
encode_php_tags()//把PHP脚本标签强制转成实体对象
复制代码 代码如下:
/**
* 安全类
*/
class CI_Security {
//url的随机hash值
protected $_xss_hash = '';
//防csrf攻击的cookie标记的哈希值
protected $_csrf_hash = '';
//防csrf cookie过期时间
protected $_csrf_expire = 7200;
//防csrf的cookie名称
protected $_csrf_token_name = 'ci_csrf_token';
//防csrf的token名称
protected $_csrf_cookie_name = 'ci_csrf_token';
//不允许出现的字符串数组
protected $_never_allowed_str = array(
'document.cookie' => '[removed]',
'document.write' => '[removed]',
'.parentNode' => '[removed]',
'.innerHTML' => '[removed]',
'window.location' => '[removed]',
'-moz-binding' => '[removed]',
'' => '-->',
' '
'
);
//不允许出现的正则表达式数组
protected $_never_allowed_regex = array(
'javascript\s*:',
'expression\s*(\(|&\#40;)', // CSS and IE
'vbscript\s*:', // IE, surprise!
'Redirect\s+302',
"([\"'])?data\s*:[^\\1]*?base64[^\\1]*?,[^\\1]*?\\1?"
);
//构造函数
public function __construct()
{
// CSRF保护是否开启
if (config_item('csrf_protection') === TRUE)
{
// CSRF配置
foreach (array('csrf_expire', 'csrf_token_name', 'csrf_cookie_name') as $key)
{
if (FALSE !== ($val = config_item($key)))
{
$this->{'_'.$key} = $val;
}
}
// _csrf_cookie_name加上cookie前缀
if (config_item('cookie_prefix'))
{
$this->_csrf_cookie_name = config_item('cookie_prefix').$this->_csrf_cookie_name;
}
// 设置csrf的hash值
$this->_csrf_set_hash();
}
log_message('debug', "Security Class Initialized");
}
// --------------------------------------------------------------------
/**
* Verify Cross Site Request Forgery Protection
*
* @return object
*/
public function csrf_verify()
{
// 如果不是post请求,则设置csrf的cookie值
if (strtoupper($_SERVER['REQUEST_METHOD']) !== 'POST')
{
return $this->csrf_set_cookie();
}
// Do the tokens exist in both the _POST and _COOKIE arrays?
if ( ! isset($_POST[$this->_csrf_token_name], $_COOKIE[$this->_csrf_cookie_name]))
{
$this->csrf_show_error();
}
// token匹配吗
if ($_POST[$this->_csrf_token_name] != $_COOKIE[$this->_csrf_cookie_name])
{
$this->csrf_show_error();
}
// We kill this since we're done and we don't want to
// polute the _POST array
unset($_POST[$this->_csrf_token_name]);
// Nothing should last forever
unset($_COOKIE[$this->_csrf_cookie_name]);
$this->_csrf_set_hash();
$this->csrf_set_cookie();
log_message('debug', 'CSRF token verified');
return $this;
}
// --------------------------------------------------------------------
/**
* 设置csrf的cookie值
*/
public function csrf_set_cookie()
{
$expire = time() + $this->_csrf_expire;
$secure_cookie = (config_item('cookie_secure') === TRUE) ? 1 : 0;
if ($secure_cookie && (empty($_SERVER['HTTPS']) OR strtolower($_SERVER['HTTPS']) === 'off'))
{
return FALSE;
}
setcookie($this->_csrf_cookie_name, $this->_csrf_hash, $expire, config_item('cookie_path'), config_item('cookie_domain'), $secure_cookie);
log_message('debug', "CRSF cookie Set");
return $this;
}
//csrf保存
public function csrf_show_error()
{
show_error('The action you have requested is not allowed.');
}
//获取csrf的hash值
public function get_csrf_hash()
{
return $this->_csrf_hash;
}
//获取csrf的token值
public function get_csrf_token_name()
{
return $this->_csrf_token_name;
}
/**
* XSS 过滤
*/
public function xss_clean($str, $is_image = FALSE)
{
//是否是数组
if (is_array($str))
{
while (list($key) = each($str))
{
$str[$key] = $this->xss_clean($str[$key]);
}
return $str;
}
//去掉可见字符串
$str = remove_invisible_characters($str);
// 验证实体url
$str = $this->_validate_entities($str);
/*
* URL 解码
*
* Just in case stuff like this is submitted:
*
* Google
*
* Note: Use rawurldecode() so it does not remove plus signs
*
*/
$str = rawurldecode($str);
/*
* Convert character entities to ASCII
*
* This permits our tests below to work reliably.
* We only convert entities that are within tags since
* these are the ones that will pose security problems.
*
*/
$str = preg_replace_callback("/[a-z]+=([\'\"]).*?\\1/si", array($this, '_convert_attribute'), $str);
$str = preg_replace_callback("/|
/*
* Remove Invisible Characters Again!
*/
$str = remove_invisible_characters($str);
/*
* Convert all tabs to spaces
*
* This prevents strings like this: ja vascript
* NOTE: we deal with spaces between characters later.
* NOTE: preg_replace was found to be amazingly slow here on
* large blocks of data, so we use str_replace.
*/
if (strpos($str, "\t") !== FALSE)
{
$str = str_replace("\t", ' ', $str);
}
/*
* Capture converted string for later comparison
*/
$converted_string = $str;
// Remove Strings that are never allowed
$str = $this->_do_never_allowed($str);
/*
* Makes PHP tags safe
*
* Note: XML tags are inadvertently replaced too:
*
*
*
* But it doesn't seem to pose a problem.
*/
if ($is_image === TRUE)
{
// Images have a tendency to have the PHP short opening and
// closing tags every so often so we skip those and only
// do the long opening tags.
$str = preg_replace('/
}
else
{
$str = str_replace(array(''), array(''), $str);
}
/*
* Compact any exploded words
*
* This corrects words like: j a v a s c r i p t
* These words are compacted back to their correct state.
*/
$words = array(
'javascript', 'expression', 'vbscript', 'script', 'base64',
'applet', 'alert', 'document', 'write', 'cookie', 'window'
);
foreach ($words as $word)
{
$temp = '';
for ($i = 0, $wordlen = strlen($word); $i
{
$temp .= substr($word, $i, 1)."\s*";
}
// We only want to do this when it is followed by a non-word character
// That way valid stuff like "dealer to" does not become "dealerto"
$str = preg_replace_callback('#('.substr($temp, 0, -3).')(\W)#is', array($this, '_compact_exploded_words'), $str);
}
/*
* Remove disallowed Javascript in links or img tags
* We used to do some version comparisons and use of stripos for PHP5,
* but it is dog slow compared to these simplified non-capturing
* preg_match(), especially if the pattern exists in the string
*/
do
{
$original = $str;
if (preg_match("/
{
$str = preg_replace_callback("#]*?)(>|$)#si", array($this, '_js_link_removal'), $str);
}
if (preg_match("/
{
$str = preg_replace_callback("#]*?)(\s?/?>|$)#si", array($this, '_js_img_removal'), $str);
}
if (preg_match("/script/i", $str) OR preg_match("/xss/i", $str))
{
$str = preg_replace("##si", '[removed]', $str);
}
}
while($original != $str);
unset($original);
// Remove evil attributes such as style, onclick and xmlns
$str = $this->_remove_evil_attributes($str, $is_image);
/*
* Sanitize naughty HTML elements
*
* If a tag containing any of the words in the list
* below is found, the tag gets converted to entities.
*
* So this:
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1376
52
Bagaimana untuk menggunakan rangka kerja CI dalam php?
Jun 01, 2023 am 08:48 AM
Dengan perkembangan teknologi rangkaian, PHP telah menjadi salah satu alat penting untuk pembangunan web. Salah satu rangka kerja PHP yang popular - CodeIgniter (selepas ini dirujuk sebagai CI) juga telah menerima lebih banyak perhatian dan penggunaan. Hari ini, kita akan melihat cara menggunakan rangka kerja CI. 1. Pasang rangka kerja CI Mula-mula, kita perlu memuat turun rangka kerja CI dan memasangnya. Muat turun versi terkini pakej termampat rangka kerja CI dari tapak web rasmi CI (https://codeigniter.com/). Selepas muat turun selesai, nyahzip
Cara menggunakan rangka kerja CI dalam PHP
Jun 27, 2023 pm 04:51 PM
PHP adalah bahasa pengaturcaraan popular yang digunakan secara meluas dalam pembangunan web. Rangka kerja CI (CodeIgniter) ialah salah satu rangka kerja yang paling popular dalam PHP Ia menyediakan satu set lengkap alatan dan perpustakaan fungsi sedia, serta beberapa corak reka bentuk yang popular, membolehkan pembangun membangunkan aplikasi Web dengan lebih cekap. Artikel ini akan memperkenalkan langkah dan kaedah asas untuk membangunkan aplikasi PHP menggunakan rangka kerja CI. Fahami konsep asas dan struktur rangka kerja CI Sebelum menggunakan rangka kerja CI, kita perlu memahami beberapa konsep dan struktur asas. Bawah
Bagaimana untuk menggunakan rangka kerja CI4 dalam php?
Jun 01, 2023 pm 02:40 PM
PHP ialah bahasa skrip sebelah pelayan yang digunakan secara meluas, dan CodeIgniter4 (CI4) ialah rangka kerja PHP popular yang menyediakan cara yang pantas dan terbaik untuk membina aplikasi web. Dalam artikel ini, kami akan membantu anda mula menggunakan rangka kerja CI4 untuk membangunkan aplikasi web yang cemerlang dengan membimbing anda melalui cara menggunakannya. 1. Muat turun dan pasang CI4 Mula-mula, anda perlu memuat turunnya dari tapak web rasmi (https://codeigniter.com/downloa
Panduan kepada rangka kerja CI dalam PHP
May 22, 2023 pm 07:10 PM
Dengan perkembangan Internet dan penyepaduan berterusannya ke dalam kehidupan orang ramai, pembangunan aplikasi rangkaian menjadi semakin penting. Sebagai bahasa pengaturcaraan yang terkenal, PHP telah menjadi salah satu bahasa pilihan untuk membangunkan aplikasi Internet. Pembangun boleh menggunakan pelbagai rangka kerja PHP untuk memudahkan proses pembangunan, salah satu yang paling popular ialah rangka kerja CodeIgniter (CI). CI ialah rangka kerja aplikasi web PHP yang berkuasa Ia mempunyai ciri-ciri ringan, mudah digunakan, prestasi dioptimumkan, dsb., membolehkan pembangun membina dengan cepat
Bagaimana untuk memperkenalkan css ke dalam rangka kerja ci
Dec 26, 2023 pm 05:20 PM
Langkah-langkah untuk memperkenalkan gaya CSS ke dalam rangka kerja CI adalah seperti berikut: 1. Sediakan fail CSS 2. Simpan fail CSS di lokasi projek rangka kerja CI yang sesuai 3. Dalam halaman yang perlu menggunakan gaya CSS, perkenalkan CSS; melalui teg HTML <link> Fail 4. Gunakan kelas CSS atau nama ID dalam elemen HTML untuk menggunakan gaya yang sepadan.
Penjelasan terperinci tentang langkah-langkah untuk merujuk gaya CSS dalam rangka kerja CI
Jan 16, 2024 am 09:28 AM
Tutorial: Langkah terperinci untuk memperkenalkan gaya CSS dalam rangka kerja CI, contoh kod khusus diperlukan Pengenalan: Gaya ialah bahagian penting dalam membangunkan aplikasi web. Gunakan CSS (Cascading Style Sheets) untuk mencantikkan halaman web dan memberikan pengalaman pengguna yang lebih baik. Apabila membangun menggunakan rangka kerja CodeIgniter (CI), cara memperkenalkan gaya CSS dengan betul adalah amat penting. Artikel ini akan memperkenalkan langkah terperinci untuk memperkenalkan gaya CSS dalam rangka kerja CI dan memberikan anda contoh kod khusus. Langkah 1: Buat Fail CSS Pertama,
Langkah untuk memperkenalkan gaya CSS ke halaman web menggunakan rangka kerja CI
Jan 16, 2024 am 09:20 AM
Langkah-langkah untuk memperkenalkan gaya CSS dalam rangka kerja CI memerlukan contoh kod khusus Rangka kerja CI (CodeIgniter) ialah rangka kerja pembangunan PHP yang popular yang digunakan secara meluas untuk membina aplikasi web yang cekap. Apabila membangunkan aplikasi web, antara muka pengguna yang cantik adalah pertimbangan penting. Menggunakan gaya CSS boleh mengoptimumkan dan memperibadikan antara muka aplikasi web, memberikan pengguna pengalaman yang lebih baik. Dalam rangka kerja CI, memperkenalkan gaya CSS biasanya memerlukan langkah berikut, disertakan dengan contoh kod tertentu. Langkah 1:
Bagaimana untuk menggunakan rangka kerja CI6 dalam php?
Jun 01, 2023 pm 11:10 PM
PHP ialah bahasa pembangunan web yang sangat popular, dan CodeIgniter (CI) ialah rangka kerja PHP yang sangat popular. CodeIgniter menyediakan banyak fungsi dan ciri yang berguna, memberikan kemudahan yang hebat kepada pembangun. Dalam artikel ini, kami akan meneroka cara menggunakan rangka kerja CI6. Memasang CI6 Sebelum anda boleh mula menggunakan CI6, anda mesti melengkapkan proses pemasangan terlebih dahulu. Anda perlu memuat turun pakej termampat CI6 terlebih dahulu daripada laman web rasmi CodeIgniter. Kemudian, nyahzip fail ini dan letakkan di dalamnya
