-1
我發現了幾個帖子,指出xss_clean不足以淨化用戶輸入。他們中的許多人建議在codeigniter中使用htmlpurifier。HTML淨化器Codeigniter
我不知道htmlpurifier究竟做了什麼以及它是如何做的。如何實現html淨化器。
請指導。
A
回答
1
xss_clean其實不是一半壞,只是不要指望它是'我使用xss_clean,現在我的整個網站是安全的'意義上的魔法子彈。 您仍然必須驗證輸入和轉義輸出。簡而言之:您必須控制人們可以在您的網站上輸入的內容,而且您不應該信任數據庫中的任何內容,因此您在使用或顯示數據之前先將數據轉義。如果您使用xss_clean和表單驗證來清理輸入,並且在對它進行任何操作或顯示之前先將輸出轉義出來,那麼您應該會很好。
好讀: Codeigniter xss_clean dilemma 和 http://codeigniter.com/forums/viewthread/188698
相關問題
- 1. HTML淨化器 - 要淨化什麼?
- 2. HTML淨化器Symfony2.3
- 3. 理解HTML淨化器
- 4. Knockout.js淨化HTML
- 5. HTML淨化在PHP
- 6. HTML淨化濾芯
- 7. HTML淨化器編碼幫助?
- 8. HTML淨化器特殊字符編碼
- 9. 適用於JavaScript的HTML淨化器
- 10. HTML淨化器特殊字符問題?
- 11. HTML淨化器轉換和 - > &
- 12. html淨化器的替代方案
- 13. HTML淨化器保留空間
- 14. xss保護和html淨化器
- 15. HTML淨化器攔截請求
- 16. HTML淨化器 - 允許鏈接?
- 17. JavaScript清潔器/淨化器?
- 18. HTML淨化器 - 更改默認允許的HTML標籤配置
- 19. Html淨化器和Html消毒劑的區別
- 20. 將屬性添加到HTML淨化器過濾器?
- 21. HTML淨化器過濾器入站或出站或兩者?
- 22. 淨化Yii中的html字符串
- 23. 正確使用JTidy來淨化HTML
- 24. PHP淨化降價 - html輸出
- 25. 如何在HTML淨化器中允許標記?
- 26. 如何使用HTML淨化器允許Youtube視頻
- 27. 請求HTML淨化器4.2.0的IRC URI方案
- 28. 如何在HTML淨化器中將ID列入白名單?
- 29. 用於Ruby on Rails的HTML淨化器等價物?
- 30. PHP&MySQL - HTML淨化器和特殊字符顯示問題
快速谷歌搜索買了這上來就笨維基:http://codeigniter.com/wiki/htmlpurifier/ – cchana