由于对CI的SQL安全这些不放心，今天寡人啃了一下午的代码，算是对其机制比较了解了，为了让各位兄弟姐妹少走弯路，特将战果公布，希望大家喜欢。
1.无论如何在获取参数之时都建设将 xss过滤打开，比如 $this->input->get(‘username’,true); 其中的true就代表打开了 xss
2.不要直接使用$_GET等类似方式获得数据，如果这样获取数据的话将不会被xss过滤
3.CI的数据在入库之前不仅不会增加转义字符，而且还会取消它 比如 Input.php 里面的这么一段

// We strip slashes if magic quotes is on to keep things consistent
if (get_magic_quotes_gpc())
{
$str = stripslashes($str);
}

4.如果你使用 $this->db->query(‘YOUR QUERY HERE’); 直接查询数据库，那么你需要使用 $this->db->escape(‘fileld_name’) 语句进行转义，这样才安全。
escape函数实际上是调用的escape_str这个函数，只不过escape增加了一层对数据类型的判断，看到了没（注意：它可没判断数值类型的哟，所以说如果传入的数据是数值型的话，你得自己动手判断一下了），下面这两个东东就是进行转义的家伙了。

function escape($str)
{
if (is_string($str))
{
$str = “‘”.$this->escape_str($str).”‘”;
}
elseif (is_bool($str))
{
$str = ($str === FALSE) ? 0 : 1;
}
elseif (is_null($str))
{
$str = ‘NULL’;
}

return $str;
}

function escape_str($str, $like = FALSE)
{
if (is_array($str))
{
foreach($str as $key => $val)
{
$str[$key] = $this->escape_str($val, $like);
}

return $str;
}

if (function_exists(‘mysql_real_escape_string’) AND is_resource($this->conn_id))
{
$str = mysql_real_escape_string($str, $this->conn_id);
}
elseif (function_exists(‘mysql_escape_string’))
{
$str = mysql_escape_string($str);
}
else
{
$str = addslashes($str);
}

// escape LIKE condition wildcards
if ($like === TRUE)
{
$str = str_replace(array(‘%’, ‘_’), array(‘\\%’, ‘\\_’), $str);
}

return $str;
}

5.无论如何你都必须要对数值型数据手动判断，这个得你自己做，比如用个 (int)之类的强制转换。

6. 对于使用 Active Record 操作的数据你可以偷懒不用 $this->db->escape(‘fileld_name’) 转义了(事实上你如果你使用了反而会被多增加些引号之类的东西)，因为它会帮你搞定，但数值型你还是要自己判断。

7. 如果你使用 Active Record 操作的数据，那么其实CI是在数据快要入数据库的时候进行转义的，所以在前面的很多地方你都看不到addslashes之类函数的身影，这样做也是有好处的你看看escape_str函数里对转义函数的判断就知道了。

8.上面我一再强调数值型数据必须得自己搞定，实际上如果你的SQL语句中对数值型加了单引号的话，应该问题不大，不过还是建议处理一下，宁可错杀，不要放过啊！！！兄弟们，姐妹们。

9. 还没想起，差不多了，寡人深信，如果你能做到上面所讲的，那就应该比坦克还保险。

10. 再次感谢 CCTV MTV XXXXXV