php – XSS_CLEAN在CodeIgniter中不起作用

发布时间：2020-12-13 17:18:21 所属栏目：PHP教程来源：网络整理

导读：$this- input- post(‘question’,TRUE) 即使我添加TRUE,它仍然允许人们添加HTML代码.这是为什么？解决方法 xss_clean() 函数不会删除所有HTML,它会删除/替换被视为危险的特定内容,例如 script标签. 07001 The XSS filter looks for commonly used techniqu

$this-> input-> post(‘question’,TRUE)

即使我添加TRUE,它仍然允许人们添加HTML代码.这是为什么？

解决方法

xss_clean()函数不会删除所有HTML,它会删除/替换被视为危险的特定内容,例如< script>标签.

07001

The XSS filter looks for commonly used techniques to trigger Javascript or other types of code that attempt to hijack cookies or do other malicious things. If anything disallowed is encountered it is rendered safe by converting the data to character entities.

有人注射了一个< p>标记到您的页面,虽然可能不需要,但并不是真正有效的攻击.你必须指定你想用它做什么.在许多情况下,您将需要xss_clean()编辑的HTML输出.

听起来你想要htmlspecialchars()或strip_tags()(注意：这两个非常不同的东西).如果要对HTML进行编码,还可以使用CI的html_escape()：

echo html_escape($this->input->post('question'));

如果您想要HTML输出而不是实体,只需单独使用XSS过滤器：

echo $this->input->post('question',TRUE);
echo xss_clean($user_input);

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!