Codeigniter SQL İnjection

Arkadaşlar codeingiter kullanıyorum daha doğrusu kullanmaya çalışıyorum desek yeridir bir forumda şöyle birşey gördüm codeigniter siteme sql açığı ile girip şifremi değiştirdiler diyor adam framework'de sql açığı varmı önlemek için ne yapabilirmi mesel insert sorgusunu şu şekillde kullanıyorum bilgi verebilecek olan varmı.

$veriler = array(
                    "kullaniciadi" => $kulladi,
                    "sifre" => md5(sha1($sifre)),
                    "email" => $email,
                    "isim" => $isim,
                    "skype" => $skype,
                    "kayittarihi" => date("Y/m/d h:m:s"),
                    "songiris" => null,
                    "sonip" => $this->input->ip_address(),
                );
                $kayit = $this->uye_model->kayit($veriler);

Uye_model ->>>

 public function kayit($veri) {
        $sonuc = $this->db->insert('kullanicilar', $veri);
        return $sonuc;
    }

sql açığı kullanılabilirmi burada mesela yada select'de nasil bir önlem alabilirim.

üye modelini kendiniz oluşturmak yerine ion auth kullanarak başlayabilirsiniz.

Hocam kendim oluşturmayı tercih ediyorum hem sistemi kavramak adına hemde alışkanlık diyelim sql açığı için birşey diyebilirmisin?

config bölümününden $config['global_xss_filtering'] = FALSE;
ayarını TRUE olarak değiştirirsen sql injection'a karşı önlem alabilirsin onun dışında form validation konusunu da kurcalamanı tavsiye ederim.

Pek kullanmadım ama biraz bakınıverdim. CodeIgniter'da DB sınıfına tanımlı escape metodunu kullanabilirsin. Yani:

$veriler = array( 
    "kullaniciadi" => $this->db->escape($kulladi), 
    "sifre" => md5(sha1($sifre)), 
    "email" => $this->db->escape($email), 
    "isim" => $this->db->escape($isim), 
    "skype" => $this->db->escape($skype), 
    "kayittarihi" => date("Y/m/d h:m:s"), 
    "songiris" => null, 
    "sonip" => $this->input->ip_address(), 
);

Kolay gelsin.

form verilerini valid yaparsan sorun kalmaz.

Bir kaç yöntem var. Öncelikle sessionları database ' e alın ve Pdo kullanın. Xss filtering aktif edin config den. Form validation konusuna birazcık ci guide dan bir bakın. Son olarak post ve get ler için security key olusturun buda aynı sekılde guide da mevcut kolayca erisip kullanabılırsınız. Formlarınız için form_open() kullanın security token için . Bunların haricinde ci da index.php de environment değerini development dan production a alın. Kafanız rahat olsun =).

Saygılarımla İyi Günler Dilerim.

Codeigniterda db metodlarında veriler zaten otomatikmen mysql_escape_string 'den geçiriliyor. Salt sorgularda ise $this->db->escape_str() veya $this->db->escape() kullanabilirsiniz. Ayrıca form verilerinde form_validation sınıfını kullanırsanız işiniz çok kolaylaşır.

$this->db->insert() dediğin zaman otomatikman tüm değerler escape ediliyor ve sql injection diye bir problem kalmıyor. SQL injection ne zaman olur? $this->db->query($sql) şeklinde yazdığın zaman olabilir. eğer $sql değişkenindeki sorguya gelen verileri escape etmezsen tüm veritabanını indirirler aşşaa. query() metodu kullanmanızı önermem. onun yerine insert(), update(), select() falan gibi metodları kullanın bu daha güvenli.