在这件事上我仍然不确定。打开时,我们非常安全,但会出现一些其他问题(传递模板变量或计算字符)。另一方面,我们关闭了魔法,一切都很清楚,但我们必须在模板中手动转义每个变量(来自不受信任的来源)。顺便说一下,Ruby-on-Rails中使用了非魔术解决方案。
所以问题是:在symfony中启动一个新项目时,你是否禁用了escaping_strategy以及为什么?
答案 0 :(得分:0)
请参阅此问题的答案以获得意见:Symfony/Doctrine: Unserialize in action vs template
我还希望看到有关此主题的更多信息,因为它不是很清楚。