我发现有几篇帖子指出 xss_clean 不足以清理用户输入。他们中的许多人建议在 codeigniter 中使用 htmlpurifier。
我不知道 htmlpurifier 究竟做了什么以及它是如何做的。如何实现 html 净化器。
请指导。
我发现有几篇帖子指出 xss_clean 不足以清理用户输入。他们中的许多人建议在 codeigniter 中使用 htmlpurifier。
我不知道 htmlpurifier 究竟做了什么以及它是如何做的。如何实现 html 净化器。
请指导。
xss_clean 实际上还不错,只是不要指望它是“我使用 xss_clean,现在我的整个网站是安全的”意义上的灵丹妙药。您仍然必须验证输入和转义输出。简而言之:您必须控制人们可以在您的网站中输入的内容,并且您不应该信任数据库中的任何内容,因此您在使用或显示数据之前对其进行转义。如果您使用 xss_clean 和表单验证来清理输入,并在对输出进行任何操作或显示之前转义输出,那么您应该没问题。
好读物: Codeigniter xss_clean dilemma 和 http://codeigniter.com/forums/viewthread/188698