作为CodeIgniter3's documentation says,
关于XSS清洁的一个很大程度上未知的规则是它应该只是 应用于输出,而不是输入数据。
在输出用户数据之前,我是否应始终使用xss_clean()?或者set_value会为我做这件事吗?
答案 0 :(得分:2)
是的,set_value()默认情况下会应用XSS清理。
但是,将它与其他表单助手函数一起使用时要小心,因为它们也会这样做,并且您不希望双重转义。 As explained in the manual,您可以通过传递(布尔值)FALSE作为set_value()的第三个参数来关闭转义。