0

を防ぐためにhtmlspecialchars()on inputfield forを使用していますが、機能していません。user last namexss$user_data->user_last_name;user last name

htmlspecialchars( $user_data->user_last_name, ENT_QUOTES, 'UTF-8' );

ユーザーの姓を として保存しようとする'Lastname<script>alert("xss")</script>'JS alert'xss'メッセージが表示されます。

何か手がかりはありますか?

4

2 に答える 2

0

これを試してください、うまくいくかもしれません:

$string = htmlentities($user_data->user_last_name, ENT_QUOTES, 'ISO-8859-15');

入力を取得するときは、次を使用する必要があります。

$value = $this->input->post('input_name', true);

ここでtrueは、 の入力値を消去しますxss

于 2013-10-31T12:40:33.040 に答える