1,- EVITANDO INYECCIÓN SQL

Un exploit de inyección SQL puede modificar una base de datos de datos. Por favor, siempre sanitice las entradas por parte del usuario. Use la función $this->db->escape()

2.- EVITANDO XSS

XSS es un tipo de inseguridad informática que permite a una tercera parte inyectar código JavaScript al navegador de la victima.

NOTA: Se ataca al navegador web del usuario, no al sitio web

¿Que puede lograr el atante?

• Robo de cookies de autenticación
• Hacer peticiones a nombre de la victima
• Modificar el contenido HTML

Evitar XSS es bastante fácil. En general debe usar la siguiente función:

3.- DESHABILITAR MENSAJES DE DEBUGGING

• No mostrar errores de PHP

Insertar la función: error_reporting(0) en el archivo: index.php ubicado en la raiz de Codeigniter

• No mostrar errores de la base de datos

En el archivo application/config/database.php configurar:

• Registro de errores

Para que los errores se registren en un archivo en vez de mostrarse al usuario modificar el archivo application/config/config.php:

4. EVITANDO OTRAS AMENAZAS

• Habilitar la protección CSRF en ambientes de producción. Modificar  el archivo application/config/config.php