我使用带有codeiniter的mode_rewrite来获取url,例如：

 /controller/param1/param2

大多数时候,param1和param2将是来自数据库的ID(换句话说是数字),而不是其他任何东西.

问题是,我可以做些什么以及应该做些什么来保护它免受潜在的黑客攻击？我应该使用html净化器,还是有更好的方法,还是需要做某事？

我真的很擅长安全和保护,我刚刚听说过html净化器,我宁愿不像初学者那样在任何地方使用它.

我应该只是preg_match()吗？

如果preg_match()是soluton,expresiion只接受数值(ID值)？

最佳答案 在您的配置文件中,您可以找到

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-+';

你不需要使用preg匹配,因为它已经在Codeigniter中完成,另一方面我会建议验证只有合适的人才能访问此链接
例如,如果项目ID未显示为只读用户等,则可以通过在控制器中进行某些检查后进行路由或重定向来处理

但是我的安全性不是很好,但到目前为止我所知道的