2016-10-01 63 views
0

嗨我想知道如果使用這個參數仍然有用和有效的安全目的。codeigniter 3中的xss過濾如何仍然有用?

$this->input->post('some_data', TRUE); 

我不知道是否應該把我所有的發佈數據與第二個參數(TRUE)。有沒有一個缺點和親使用它的codeigniter 3,因爲如果$config['global_xss_filtering'] = FALSE;正式折舊,這將是在帖子中使用第二個參數的本質?

謝謝!

+1

試圖過濾注入的攻擊出輸入的是不好的做法進行清理。相反,將數據轉換爲各種組件使用的適當格式 - 例如,通過使用自動對輸出進行HTML編碼的模板引擎。您現在是使用單獨的模板引擎,還是隻使用內置的''? – Ryan

+0

@Ryan使用單獨明確smarty.net – howardtyler

+0

@Ryan我應該仍然使用第二個參數來增加安全性? – howardtyler

回答

0

從您使用它的意義上說,XSS過濾的折舊。但是建議您使用

$data = $this->security->xss_clean($data); 

這是用於提交併在提交

查找在安全庫時使用。

使用form_open逃脫你的數據,但數據還是應該使用

'title' => html_escape(trim($this->input->post('title')))