众所周知,$this->input->post('$myvariable',TRUE)是XSS过滤的。但有没有什么方法可以防止HTML注入。我读了几篇文章,但没有一个明确的想法从哪里开始。任何帮助?
答案 0 :(得分:1)
$this->input->post('variable',TRUE);
当您添加TRUE时,它将过滤所有注入(SQL,XSS)
在$config['global_xss_filtering'] = TRUE;
application/config
信息:Input类能够自动过滤输入以防止跨站点脚本攻击。
你可以使用
html_escape()
信息:此功能为
htmlspecialchars()功能提供快捷方式。它接受字符串和数组。要阻止跨站点脚本(XSS),它非常有用。
和这个
remove_invisible_characters()
信息:此函数阻止在ascii字符之间插入空字符,如Java \ 0script 。