关于 XSS 清理的一个很大程度上未知的规则是它应该只应用于输出,而不是输入数据。
在输出用户数据之前我应该总是使用 xss_clean() 吗?还是 set_value 为我做的?
问问题
144 次
1 回答
2
是的,set_value()默认情况下会应用 XSS 清理。
但是,在将它与其他表单辅助函数一起使用时要小心,因为它们也这样做,并且您不希望双重转义。如手册中所述,您可以通过将 (boolean) FALSE 作为set_value().
于 2015-05-12T19:17:20.677 回答