这篇文章主要介绍CI核心框架工具类CI_Input。
根据CI文档自己的定义,该类用来提前处理全局变量,以保证安全。以下选取类中的重点方法进行说明。
__construct()
在构造函数,根据定义,用来决定是否开启全局的XSS处理和是否允许$_GET数组。
调用函数$this->_sanitize_globals();
来清理,$_GET,$_POST,$COOKIE,$_SERVER['PHP_SELF']中的数据。主要用来检测键名和键值是否存在非法字符,以防止XSS攻击。
同时会调取安全类CI_Security来进行CRSF的防御。
// CSRF Protection check
if ($this->_enable_csrf === TRUE && ! is_cli())
{
$this->security->csrf_verify();
}