cómo evitar la inyección sql en codeigniter

Puedes usar

$this->db->escape()

Método..

$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($omgomg).")";

Aquí se enumeran otros métodos.

Http://codeigniter.com/user_guide/database/queries.html

Debe intentar evitar escribir sus consultas directamente en una cadena y luego pasarlas a la función de consulta. Una mejor opción sería utilizar la clase Active Record que construirá sus consultas para usted y escapará los valores. http://codeigniter.com/user_guide/database/active_record.html

Si desea evitar el uso de la clase Active Record por cualquier razón, puede ver la documentación de Codeigniter para la clase de base de datos que tiene un método de escape para escape de sus valores antes de pasarlos al método de consulta. http://www.codeignitor.com/user_guide/database/queries.html

Ben

En CodeIgniter: Hay 2 acciones para evitar la inyección SQL. Para aquellos que son novedad en la programación web, otro tipo de agujero de seguridad en la programación web que puede ser fatal porque puede exponer su lado interno de la base de datos de la aplicación, es la inyección SQL.

Y afortunadamente de nuevo, Codeigniter tiene la capacidad de lidiar con ello. Pero desafortunadamente, muchos de CI programador colaboré (e incluso usted) hizo (o podría) olvidar estas dos acciones para evitar cualquier circunstancia de SQL inyección.

Se adhieren a la capacidad ActiveRecord La primera cosa es no en ninguna circunstancia tratar con la consulta de los datos mediante el uso de consulta completa como esta:

$this->db->query("select * from users where user=$user and password=$password")

No sabes qué es exactamente dentro de variable user o variable password variable cuando se trata de usuario que hará deliberadamente lo incorrecto. Incluso XSS sanitiser no tratará con alguien que ingrese una combinación de comilla, punto y coma o carácter de guión en él. Así que en este caso, usted necesita aprender esta cosa Registro activo porque tiene la capacidad de sanitiser de entrada dedicada a prevenir la inyección SQL. Y no te preocupes, es compatible con el tipo de encadenamiento de funciones como este:

$this->db->select('title')->from('mytable')->where('id', $id)->limit(10, 20);

$query = $this->db->get();

Pero recuerde, no funcionará si aún combina la función de consulta habitual (parcialmente) dentro de la función active record de esta manera:

$query = $this->db->where("title LIKE '%$input%'");

Que en realidad podría cambiarse así.

$query = $this->db->like("title", $input);

El punto es, usar cada bit de posibilidad del Registro Activo de CodeIgniter y no meterse con él.

Pero si eso no hay trabajo, hay una alternativa Si tiene una consulta muy larga y no se molesta en convertirla al estilo de Active Record, puede desinfectar su entrada manualmente usando esta función:

$sanitised_title = $this->db->escape($title);

/ / Para su uso dentro COMO consulta

$sanitised_title = $this->db->escape_like_str($title);

Y puede concatenar de forma segura la entrada sanitised/escaped dentro de su consulta.

Puede comprobar si var contiene solo letras de números, lo que significa que var mast está en el formato definido. antes de insertarlo en la consulta

Al aceptar el valor del lado del cliente, es mejor usar este código,

$client = $this->input->post('client',TRUE);

Al insertar mejor para usar el método de inserción de codeigniter,

$this->db->insert('tablename',$values);

Al usar este método codeingniter automáticamente hacemos todos los escapes por lo que no necesitamos hacer escape manual.