我刚读了一篇关于CakePHP安全性的非常有趣的帖子:Cakephp Security
它说无论何时使用帮助器,CakePHP基本上都会担心安全风险,除非我转向逃生。我相信当我希望链接成为图像时,我只会关闭转义,因此在链接辅助线内嵌入图像帮助线。例如:
echo $this->Html->link($this->Html->image('logo.png'), "/" , array('id'=>'logo', 'escape' => false));
这是不好的做法吗?这会让我变得脆弱吗?我应该采取其他方式吗?
此外,每当我在动态页面上输出数据库数据时,它是否正确,它需要包含在htmlspecialchars($ myvariable)中?我不明白为什么我需要这样做,如果我知道我的数据库是干净的“坏东西”,我输入到我的数据库的所有表格都使用FormHelper。
答案 0 :(得分:1)
在显示的示例代码中,您拥有所有静态值,没有来自用户的内容,因此没有风险。
类似地,对于来自数据库的内容,例如。所有内容都由网站管理员管理,没有来自用户的内容保存到数据库中,在没有转义的情况下回复内容是相当安全的。