CakePHP的 - 安全 - 圖像和鏈接助手

Question

我剛纔讀這對安全很有趣的職位的CakePHP：Cakephp Security

它說，只要使用一個幫手，CakePHP的基本需要照顧的安全風險，除非我把逃生。我相信只有當我希望我的鏈接是圖像時才關閉轉義，因此將圖像助手行嵌入到鏈接助手行中。例如：

echo $this->Html->link($this->Html->image('logo.png'), "/" , array('id'=>'logo', 'escape' => false)); 

這是不好的做法？這會讓我容易受傷嗎？我應該以其他方式做嗎？

此外，每當我在動態頁面上輸出數據庫數據時，它都需要包含在htmlspecialchars（$ myvariable）中嗎？我不明白爲什麼我需要這樣做，如果我知道我的數據庫是乾淨的「壞東西」，並且我輸入數據庫的所有表單都使用FormHelper。

Answer 1

在顯示的示例代碼中，您具有所有靜態值，但沒有來自用戶的內容，因此沒有風險。

類似的，你的內容來自數據庫如果例如。所有內容由網站管理員管理，並且用戶的任何內容都不會被保存到數據庫中，因此可以合理安全地在不逃脫的情況下回應內容。