CodeIgniter – Seguridad – Evitar XSS en formularios

Siguiendo con los puntos de seguridad de CodeIgniter, vamos a ver cómo podemos hacer nuestros formularios mas seguros. Es sabido que se puede aprovechar los formularios para poder realizar atques Cross-site scripting (XSS). Éste, consiste en inyectar código en formulario o enlaces para poder ejectutar instrucciones que pongan en peligro la web. Centrémonos en los formularios…

En CodeIgniter hay dos maneras de aumentar la seguridad en este sentido.

Activar protección XSS en CodeIgniter en configuración

Debemos verificar que en el fichero config, application/config/config.php, la línea siguiente está a True

$config[‘global_xss_filtering’] = TRUE;

De esta manera toda la información que se pase por formularios, serà limpiado de código.

Protección XSS en CodeIgniter en formularios

Una de las novedades de la versión 3 es que cambia la manera de recibir la información de los formularios en los controladores:

$this->input->post(‘nombre’, TRUE); // Hace limpieza XSS
$this->input->post(‘apellidos’, FALSE); // No hace limpieza XSS
$this->input->post(array(‘nombre’, ‘apellidos’), TRUE); // Hace limpieza XSS

En definitiva, si añadimos TRUE como parámetro hará filtro XSS, y si ponemos FALSE no lo hará. Este parámetro es opcional. En el caso de no añadir este parámetro, cogerá el valor indicado en la variable global que hemos visto anteriormente ($config[‘global_xss_filtering’]).

Más información

Artículos relacionados

Codeigniter redireccionar toda la web a SSL Os indico como redireccionar en una web creada con Codeigniter para que siempra, escriban lo que escriban en la barra de dirección accedan a nuestra w...
Codeigniter – Obligar a cargar página sin ut... En varias ocasiones, necesitaremos que una página no se guarde en caché. El tipo ejemplo es cuando vamos de una página a otra, y pulsamos posteriormen...
CodeIgniter – Generar imagen con librería GD... Estamos delante de un caso muy común: debemos crear una imagen, formato jpg o png, dinámica y que contenga datos dinámicos. Imaginemos que debemos mos...
CodeIgniter – No mostrar errores en producci... Vayamos por partes y rápido, que ni tu tienes ganas de leer, ni yo de escribir un libro. Esto complementaría otros post al respecto: Errores PHP ...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*