我发现有几篇帖子说明xss_clean不足以清理用户输入。他们中的许多人建议在codeigniter中使用htmlpurifier。
我不知道htmlpurifier究竟做了什么以及它是如何做的。如何实现html净化器。
请指导。
答案 0 :(得分:1)
xss_clean实际上并不是半坏,只是不要指望它是'我使用xss_clean,现在我的整个网站是安全的'意义上的魔术子弹。 您仍然需要验证输入和转义输出。简单地说:您必须保持对人们可以在您的网站中输入的内容的控制权,并且您不应该信任数据库中的任何内容,因此您在使用或显示数据之前将数据转义。如果您使用xss_clean和表单验证来清理输入,并在对其进行任何操作或显示之前转义输出,那么您应该没问题。
好读: Codeigniter xss_clean dilemma 和 http://codeigniter.com/forums/viewthread/188698