php优秀框架codeigniter学习系列——CI_Security类学习

这篇文章主要介绍CI核心框架工具类CI_Security。
安全类包含了一些方法，用于安全的处理输入数据，帮助你创建一个安全的应用。以下选取类中的重点方法进行说明。

__construct()

---

在构造函数中，取出配置中csrf_expire，csrf_token_name，csrf_cookie_name的值，赋给类成员变量。接着，设置$this->_csrf_hash的值。如果cookie中存在csrf_cookie_name变量，则将值赋给$this->_csrf_hash，如果不存在，则利用一个算法生成新的值。

xss_clean($str, $is_image = FALSE)

---

该函数对用户的输入进行xss的过滤和 清理，如果$is_image设置为true,还能对图片进行过滤。细节我没有多看，当然它用到了很多过滤条件和方法。
如果你想过滤带有html标签的输入，可以使用 common.php中的html_escape()函数，参考。

CSRF验证和防御

---

基本原理，是运用POST中的名为csrf_token_name表单值发送服务器，与cookie中的csrf_cookie_name（之前已经设置过的）值进行比较， 如果相同则通过，如果不同则说明是csrf攻击。它利用的是cookie值一般不能被窃取的原理。可以参考这篇文章https://codeigniter.org.cn/forums/thread-19849-1-1.html，讲解的非常详细。