2012-09-17 49 views
0

我剛纔讀這對安全很有趣的職位的CakePHP:Cakephp SecurityCakePHP的 - 安全 - 圖像和鏈接助手

它說,只要使用一個幫手,CakePHP的基本需要照顧的安全風險,除非我把逃生。我相信只有當我希望我的鏈接是圖像時才關閉轉義,因此將圖像助手行嵌入到鏈接助手行中。例如:

echo $this->Html->link($this->Html->image('logo.png'), "/" , array('id'=>'logo', 'escape' => false)); 

這是不好的做法?這會讓我容易受傷嗎?我應該以其他方式做嗎?

此外,每當我在動態頁面上輸出數據庫數據時,它都需要包含在htmlspecialchars($ myvariable)中嗎?我不明白爲什麼我需要這樣做,如果我知道我的數據庫是乾淨的「壞東西」,並且我輸入數據庫的所有表單都使用FormHelper。

回答

1

在顯示的示例代碼中,您具有所有靜態值,但沒有來自用戶的內容,因此沒有風險。

類似的,你的內容來自數據庫如果例如。所有內容由網站管理員管理,並且用戶的任何內容都不會被保存到數據庫中,因此可以合理安全地在不逃脫的情況下回應內容。