CodeIgniter의 URL이 제목에 특수 문자 오류

Question

I는 다음과 같이 링크가 있습니다

www.localsite.dev/posts/332635955335419755 

꽤 잘 작동하고 난 ID와 게시물을 볼 수 = 332635955335419755

을하지만 난 몇 가지를 추가 할 때 더 아름다운 URL에 대한 URL로 텍스트의 ... Codeigniter는 몇 가지 특수 문자가있는 경우 404 페이지 오류를 표시합니다 ... 사실 XSS 등을 시도하면 예외는 아닙니다. XSS가 실행됩니다. 또는 그냥 404 페이지 오류 던져 및 ID 뒤에 텍스트를 제거하면 잘 작동합니다 ...

www.localsite.dev/posts/332635955335419755/<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> 

그래서 슬러그가 이러한 문자를 가지고 있다면 404 오류가 발생하지 않도록 할 수 있습니까?

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-<>/'; 

에 config.php를

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-'; 

에서

이

Answer 1

귀하의 질문은 실제로 404를 방지하는 방법이 아니라 안전한 URL 슬러그를 만드는 방법입니다.

following page from the user guide을 살펴보면 xss_clean() 및/또는 sanitize_filename()을 사용하여 위험한 문자를 스트링에서 제거 할 수 있습니다. db에 데이터를 삽입하기 전에 또는 슬러그가 만들어지기 전에이를 수행하기를 원할 것입니다.

또한 the url_title() method이 있지만 xss 문자열을 처리하는 방법을 모르겠습니다. 이상적으로는 세 가지 방법을 모두 조합하여 사용하십시오.

이 작업을 완료 한 후에는 $config['permitted_uri_chars']을 변경해야만 이러한 두 가지 보안 방법을 허용 할 수 있지만 적어도 더 안전해야합니다.

Answer 2

변경하지만 - 당신은 정말 정말 정말하고 싶지 해달라고 - 그것은 대규모 보안 문제에 당신을 엽니 다. 문제에 대한 접근 방식을 다시 생각해야합니다. flash_message를 텍스트 또는 _POST와 함께 사용하는 것이 좋습니다. 그 종류의 텍스트를 처리하기 위해 URL을 사용하면 트랙 아래로 문제와 오류가 발생합니다. ...