0

タイトルが示すように、次のように入力を補充します。

<input type="text" name="my_input" value="<?= $this->input->post('my_input') ?>"/>

しかし、それは安全ですか?CodeIgniter のユーザー ガイドに従って、の 2 番目のパラメーターを に設定する$this->input->post()TRUE、入力は関数を介してフィルター処理されますがxss_clean、本当に必要なのでしょうか? それとも、それをhtmlentities()しながら関数を使用する必要がありますか?

4

3 に答える 3

0

代わりにサニタイズフィルターをお勧めします。

于 2012-11-08T14:52:52.443 に答える
0

テキストと見なされる文字列を HTML マークアップに出力するたびに、HTML エスケープ関数を使用する必要があります。実用的な理由からお勧めhtmlspecialchars()しますが、質的には違いはありません。htmlentities()これは、引用されたサンプルコードに対して行うべき正しいことです。

CIxss_cleanは、入力処理を目的としたサニタイズ機能です。個人的には、不必要に入力を台無しにし、奇妙なバグを引き起こす、ずさんで誤解された矛盾の袋だと思います。しかし、いずれにせよ、それは HTML エスケープからあなたを解放するものではありません。

于 2012-11-09T13:52:32.687 に答える
0

CodeIgniter には、特にそのための prep_for_form() 関数があります。私はコードを調べていませんが、私があなただったら探しているところです。

于 2013-02-05T20:48:19.950 に答える