1
檢查用戶的會話項是否爲xss clean是否有意義?Codeigniter會話xss過濾
事情是這樣的:
$item = $this->security->xss_clean($this->session->item);
是否有可能該會話可以包含任何有害代碼?
A
回答
2
簡短回答:是。
如果$this->session->item由惡意用戶填充(例如某些input textbox或假$_POST數據),那麼它很容易受到有害代碼的影響。
即使這個session變量確實存儲在您的會話中,它可能會插入到數據庫中,例如。
相關問題
- 1. CodeIgniter形式的XSS過濾
- 2. 禁用codeigniter xss過濾或運行它
- 3. Codeigniter xss過濾和url鏈接
- 4. codeigniter中的XSS過濾不會阻止SQL注入嗎?
- 5. 凡過濾會話過期
- 6. CodeIgniter中的會話過期
- 7. codeigniter 3中的xss過濾如何仍然有用?
- 8. 如何確定輸入已經被CodeIgniter xss protection過濾
- 9. 爲什麼CodeIgniter的XSS過濾器不乾淨?
- 10. XSS PHP日誌過濾器?
- 11. 笨 - 全球XSS過濾TRUE
- 12. IE8 XSS過濾器問題
- 13. Java會話過濾器
- 14. CodeIgniter會話vs PHP會話
- 15. Codeigniter 3 - XSS Filtering
- 16. 會話(CodeIgniter)
- 17. CodeIgniter會話
- 18. CodeIgniter會話encryption_key
- 19. CodeIgniter會話
- 20. 通過此過濾器的XSS攻擊?
- 21. CodeIgniter會話過期頁面刷新
- 22. CodeIgniter會話變量不通過
- 23. Codeigniter中的會話Cookie過期
- 24. 幫助w/Codeigniter會話過期時間
- 25. 如何清除過期的codeigniter會話?
- 26. CodeIgniter通過ID刪除特定會話
- 27. CodeIgniter通過會話的用戶權限
- 28. 5分鐘後Codeigniter會話過期
- 29. CodeIgniter中的會話過期時間
- 30. 如何通過node.js獲取codeigniter會話
謝謝,這裏是我的情況:我將在session'$ this-> session-> lang'中存儲用戶的語言嗎?如果有任何機會,用戶將操縱它等。 – Geril
這聽起來可能很刺耳,但決不會信任客戶的數據。 如果您的'$ this-> session-> lang'是由用戶瀏覽器使用'Accept-Language' http頭設置的,則它可能被篡改,請參閱此鏈接(http://programmingpanda.blogspot.com。 br/2009/08/xss-in-http-headers-accept-language.html)。 – mimimito
非常感謝,但沒有任何辦法如何在CodeIgniter中自動執行它? – Geril