1
檢查用戶的會話項是否爲xss clean是否有意義?Codeigniter會話xss過濾
事情是這樣的:
$item = $this->security->xss_clean($this->session->item);
是否有可能該會話可以包含任何有害代碼?
檢查用戶的會話項是否爲xss clean是否有意義?Codeigniter會話xss過濾
事情是這樣的:
$item = $this->security->xss_clean($this->session->item);
是否有可能該會話可以包含任何有害代碼?
簡短回答:是。
如果$this->session->item
由惡意用戶填充(例如某些input textbox
或假$_POST
數據),那麼它很容易受到有害代碼的影響。
即使這個session
變量確實存儲在您的會話中,它可能會插入到數據庫中,例如。
謝謝,這裏是我的情況:我將在session'$ this-> session-> lang'中存儲用戶的語言嗎?如果有任何機會,用戶將操縱它等。 – Geril
這聽起來可能很刺耳,但決不會信任客戶的數據。 如果您的'$ this-> session-> lang'是由用戶瀏覽器使用'Accept-Language' http頭設置的,則它可能被篡改,請參閱此鏈接(http://programmingpanda.blogspot.com。 br/2009/08/xss-in-http-headers-accept-language.html)。 – mimimito
非常感謝,但沒有任何辦法如何在CodeIgniter中自動執行它? – Geril