He estado usando CodeIgniter durante dos años y estoy profundizando en las pruebas de penetración. Creo que ActiveRecord hace un buen trabajo en la prevención de inyecciones de SQL, pero ¿hay alguna posibilidad de pasar por alto el sistema de filtro de ActiveRecord mediante la inyección ASCII Encoded / Binary String SQL?
Si es posible, ¿cómo puedo evitar la inyección ASCII Encoded / Binary String SQL?
No se conocen vulnerabilidades de inyección SQL en la última versión de Code Igniter y los chicos de EllisLabs hacen todo lo posible para proporcionar parches rápidos para las vulnerabilidades reportadas. Si descubre una vulnerabilidad de seguridad en el código de Registro Activo, debe divulgarla de manera responsable a la compañía que desarrolla el producto. De lo contrario, no intente arreglar lo que no está roto, ya que puede terminar por insertar vulnerabilidades, en lugar de eliminarlas.
Nota importante: asegúrese de no hacer excepciones con el uso de Code Igniter, al crear su propia sintaxis SQL (especialmente cuando usa la entrada proporcionada por el usuario)
$ this- > db- > query ("SELECT id DE la tabla WHERE column LIKE '%". "$ search."' ");
O, si lo haces, escapa adecuadamente tus variables usando sus funciones predefinidas.
Lea otras preguntas en las etiquetas sql-injection php mysql