CI安全

URI安全，CodeIgniter 严格限制 URI 中所能包含的字符，以此帮助你设计的程序减少被恶意数据入侵的可能。URI 一般只包含下列内容：

• 字母和数字（Alpha-numeric text）
• 波浪符（Tilde）： ~
• 句号（Period）： .
• 冒号（Colon）： :
• 下划线（Underscore）： _
• 破折号（Dash）： -

系统初始化期间所有的全局变量都被 unset，除了那些在 $_GET、$_POST 和 $_COOKIE 数组中的数据。实际上 unsetting 实例程序的作用与register_globals = off 相同。

在系统初始化期间 magic_quotes_runtime 指令被关闭以便在数据库检索数据时不必去掉反斜线。

在接收任何数据到你的程序之前，不管是表单提交的 POST 数据、COOKIE 数据、URI 数据、XML-RPC 数据、还是 SERVER 数组中的数据，我们都推荐你实践下面的三个步骤：

1. 过滤不良数据.
2. 验证数据以确保符合正确的类型, 长度, 大小等. (有时这一步骤也可取代第一步骤)
3. 在提交数据到你的数据库之前将其转换

XSS过滤：

CodeIgniter带有一个跨站脚本过滤器. 这个过滤器会查找那些用通常手段嵌入到你数据中恶意的Javascript,或其它一些试图欺骗cookie类型的或者做其它恶意事情的代码

数据验证：

CodeIgniter 有一个表单验证类用来帮助验证、过滤和预处理数据。

插入数据库之前转义所有数据：

不要插入未转义的信息到你的数据库中。要了解更多信息请参阅查询章节。

http://codeigniter.org.cn/user_guide/database/queries.html

保护标识符：

在许多数据库中，保护表(table)和字段(field)的名称是明智的，例如在MySQL中使用反引号。Active Record的查询都已被自动保护，然而，如果您需要手动保护一个标识符，您也可以这样：

$this->db->protect_identifiers('table_name', TRUE);

封装，通过让系统为你组装各个查询语句，能够简化你的查询语法。参加下面的范例：

$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?";

$this->db->query($sql, array(3, 'live', 'Rick'));