الأخ vBman
بخصوص تفعيل الحماية من XSS التلقائياً فالموضوع سهل جدا ...
اذهب إلى ملف application/config/config.php
وبالتحديد في السطر :
غير FALSE إلى TRUEكود PHP:
$config['global_xss_filtering'] = FALSE;
وفي هذه الحالة جميع المعلومات الآتية من أي فورم سواء كان GET او POST, سيتم تمريرها على فلتر الحماية
جرب مثلاً ان تصنع فورم وتكتب فيه اي كود مضر ( مثلاً script ) وبعد الضغط على إرسال اعرض محتوى الفورم عن طريقة هذه الحركة مثلاً :
ستجد بأن script تم حذفها تلقائياً واستبدالها بكلمة removedكود PHP:
print_r($_POST);
بخصوص ثغرات SQL Injection فمكتبة قواعد البيانات تقوم تلقائياً بعمل Escaping لأمر قاعدة البيانات المدخل إليه ...
كذلك في الروابط لا يمكنك إدخال اي رموز قد يتم استخدامها كمحاولة لإدخال كود مضر (سواء كان XSS او SQL Injection ) , في نفس الوقت يمكنك السماح لبعض الرموز يدوياً من ملف config.php وتحديدة السطر :
وبخصوص file include لا ادري ماذا تقصد بالضبط ولكن الـ Include بكل حال يعتمد على طريقة استخدامك انت ...كود PHP:
$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-';
ارق التحية