我想在我的数据库中插入<script></script>,我启用了xss
$config['global_xss_filtering'] = TRUE;
我不想把这个配置变量弄错。
如果没有做错,我想在我的数据库中插入像这个<script></script>这样的javascript标签,任何人都可以帮我解决这个问题。
答案 0 :(得分:0)
XSS Filtering的作用是:如果遇到任何不允许的内容,则通过将数据转换为字符实体来使其安全。 过滤后的信息以安全的格式保存在您的数据库中(使用htmlentities()),但它就在那里。因此,您需要做的是在从页面回显之前从数据库中读取该特定字段时应用html_entity_decode()。
我认为不应该这样做,因为它首先违背了xss过滤的整个目的,并在应用程序中留下了一个很大的安全性。用户永远不应该编辑脚本。