xss_clean はユーザー入力のサニタイズには不十分であるという投稿をいくつか見つけました。それらの多くは、codeigniter で htmlpurifier を使用することを提案しました。
htmlpurifier が正確に何をどのように行うのかわかりません。HTML purifier の実装方法。
ガイドしてください。
質問する
655 次
1 に答える
1
xss_clean は実際には半分悪いわけではありません。ただ、「xss_clean を使用しているので、Web サイト全体が安全です」という意味で特効薬になるとは思わないでください。入力を検証し、出力をエスケープする必要があります。簡単に言えば、人々が Web サイトに入力できる内容を制御し続ける必要があり、データベースにあるものを信頼してはならないため、データを使用または表示する前にデータをエスケープします。入力をサニタイズするために xss_clean とフォーム検証を使用し、出力を処理または表示する前にエスケープする場合は、問題ありません。
良い読み物: Codeigniter xss_clean ジレンマ と http://codeigniter.com/forums/viewthread/188698
于 2012-06-15T11:06:14.813 に答える