CakePHPのセキュリティに関するこの非常に興味深い投稿を読んだばかりです:Cakephpセキュリティ
ヘルパーが使われるときはいつでも、私が逃げ出さない限り、CakePHPは基本的にセキュリティリスクを処理すると言っています。リンクを画像にしたい場合にのみエスケープをオフにするので、リンクヘルパーライン内に画像ヘルパーラインをネストします。例えば:
echo $this->Html->link($this->Html->image('logo.png'), "/" , array('id'=>'logo', 'escape' => false));
それは悪い習慣ですか?それは私を無防備にしますか?私はそれを他の方法でやるべきですか?
さらに、動的ページにデータベースデータを出力するときは常に、htmlspecialchars($ myvariable)で囲む必要があるというのは正しいですか?データベースが「悪いもの」からクリーンであり、データベースに入力するためのすべてのフォームがFormHelperを使用していることがわかっている場合、なぜそれを行う必要があるのかわかりません。