Проверка формы в основном в JavaScript, только проверка безопасности на стороне сервера

Question

Я создаю малоизвестное приложение, которое доступно только после вовлеченного процесса регистрации, поэтому отправка вредоносных данных не должна происходить часто.

Я использую Codeigniter 2.1 для фильтрации всех переменных POST.Codeigniter использует PHP-функцию mysql_real_escape_string среди других мер для предотвращения атаки SQL-инъекций через POST-данные.

Я выполняю всю свою проверку на стороне клиента, используя JavaScript.Проверка JavaScript работает хорошо.Конечно, пользователь может использовать cURL или другую утилиту для обхода проверки на стороне клиента, но стандартная проверка PHP в Codeigniter должна предотвращать внедрение SQL, верно?

Могу ли я выполнить проверку на стороне клиента и доверитьсяCodeigniter для защиты базы данных от атаки SQL-инъекцией?

Answer 1

Это то, что утверждает codeigniter. Вы можете найти это в файле system / core / Security.php

Дезинфицирует данные, чтобы можно было предотвратить взломы межсайтовых скриптов Эта функция выполняет много работы, но она очень тщательна, предназначен для предотвращения даже самых неясных попыток XSS. Ничего когда-либо на 100% надежный, конечно, но я не смог получить что-нибудь прошло фильтр.

Answer 2

Это довольно просто ИМХО. Если он использует mysql_real_escape_string, вы не в безопасности во всех случаях. См. Этот ответ для получения дополнительной информации: Лучший способ предотвратить SQL-инъекцию в PHP .

Помимо того, что вы не в безопасности, он также использует устаревшие функции для общения с mysql.

Также: вы должны всегда выполнять проверку на стороне сервера! никогда не доверяй стороне клиента!