我已经创建了一个函数来处理 CSS 和 XSS 注入,但它仍然可以通过。
有人对我说以下内容,但我不确定这是什么意思:
在您的 sanitize_input 函数上,执行 strip_tags 以去除可能已通过表单添加的所有 html 标签。在 strip_tags 上阅读 php.net。
这是我的代码:
private function sanitizeInput() {
foreach($_POST as &$post) {
$post = $this -> db -> real_escape_string($post);
}
}