代码点火器XSS clean和php $ _POST

时间:2015-10-15 21:59:54

标签: php codeigniter

据我所知,php将urldecode $_GET$_REQUEST所以我不必自己

但由于全局XSS过滤,似乎CI是rawurldecoding $ _POST($ this-> input-> post())。我这很好;但是我需要对数据进行urldecoded而不是RAWurldecoded。这意味着我需要用空格替换+('')

  1. 我可以做一个简单的str_replace而不会导致问题吗?
  2. 我是否理解php为$ _GET和$ _REQUEST做了什么? (根据手册说的那样)?

1 个答案:

答案 0 :(得分:1)

如果愿意,您可以通过传递参数来禁用XSS过滤。

$this->input->post('post_name', FALSE); // returns specified POST item without XSS filter
$this->input->post(NULL, FALSE); // returns all POST items without XSS filter
相关问题
最新问题