cette requête d'enregistrement actif codeigniter est-elle sûre?

Question

J'utilise ce code pour le côté admin uniquement pour mon site ci, est-ce que cet insert de db est sûr?

function addCategory(){ 
    $data = array(
    'name'=> $_POST['name'], 
    'shortdesc'=>$_POST['shortdesc'], 
    'longdesc' => $_POST['longdesc'], 
    'status'=>$_POST['status'], 
    'parentid' => $_POST['parentid'] 

    ); 
    $this->db->insert('categories', $data); 
} 

Answer 1

je recommande l'aborder de cette façon

$data = array(); 
foreach($_POST as $key => value) 
{ 
    if ($this->input->post($key)) // if a value is set 
    { 
     $data[$key] = $this->input->post($key, true); //protect against xss 
    } 
} 

$this->db->insert('catagories', $data); 

De cette façon, si l'une de ces valeurs statiques que vous avez spécifié ne sont pas réglés, ils ne sont pas ajoutés à l'insertion de données false (ce $this->input->post() rendement si elles ne sont pas définis)

Answer 2

Code Igniter va correctement échapper à ces valeurs pour vous. Cela étant dit, vous devez utiliser la classe d'entrée pour obtenir vos données de publication; non seulement il peut protéger automatiquement contre XSS si vous avez défini cette façon dans votre fichier de configuration, si l'une de ces valeurs ne sont pas positionnés, vous n'obtiendrez des avertissements crachant:

$name = $this->input->post('name'); 

$data = array(
    'name' => $name, 
    ... etc ... 
); 

Vous pouvez aussi mettre la fonction appelez directement dans votre tableau:

$data = array(
    'name' => $this->input->post('name'), 
    ... etc ... 
); 

Ou si vous souhaitez définir des valeurs par défaut lorsque la valeur POST est pas là:

// php 5.3+ 
$data = array(
    'name' => $this->input->post('name') ?: 'default' 
); 

// older 
$data = array(
    'name' => $this->input->post('name') ? $this->input->post('name') : 'default' 
);