-1
我发现了几个帖子,指出xss_clean不足以净化用户输入。他们中的许多人建议在codeigniter中使用htmlpurifier。HTML净化器Codeigniter
我不知道htmlpurifier究竟做了什么以及它是如何做的。如何实现html净化器。
请指导。
A
回答
1
xss_clean其实不是一半坏,只是不要指望它是'我使用xss_clean,现在我的整个网站是安全的'意义上的魔法子弹。 您仍然必须验证输入和转义输出。简而言之:您必须控制人们可以在您的网站上输入的内容,而且您不应该信任数据库中的任何内容,因此您在使用或显示数据之前先将数据转义。如果您使用xss_clean和表单验证来清理输入,并且在对它进行任何操作或显示之前先将输出转义出来,那么您应该会很好。
好读: Codeigniter xss_clean dilemma 和 http://codeigniter.com/forums/viewthread/188698
相关问题
- 1. HTML净化器 - 要净化什么?
- 2. HTML净化器Symfony2.3
- 3. 理解HTML净化器
- 4. Knockout.js净化HTML
- 5. HTML净化在PHP
- 6. HTML净化滤芯
- 7. HTML净化器编码帮助?
- 8. HTML净化器特殊字符编码
- 9. 适用于JavaScript的HTML净化器
- 10. HTML净化器特殊字符问题?
- 11. HTML净化器转换和 - > &
- 12. html净化器的替代方案
- 13. HTML净化器保留空间
- 14. xss保护和html净化器
- 15. HTML净化器拦截请求
- 16. HTML净化器 - 允许链接?
- 17. JavaScript清洁器/净化器?
- 18. HTML净化器 - 更改默认允许的HTML标签配置
- 19. Html净化器和Html消毒剂的区别
- 20. 将属性添加到HTML净化器过滤器?
- 21. HTML净化器过滤器入站或出站或两者?
- 22. 净化Yii中的html字符串
- 23. 正确使用JTidy来净化HTML
- 24. PHP净化降价 - html输出
- 25. 如何在HTML净化器中允许标记?
- 26. 如何使用HTML净化器允许Youtube视频
- 27. 请求HTML净化器4.2.0的IRC URI方案
- 28. 如何在HTML净化器中将ID列入白名单?
- 29. 用于Ruby on Rails的HTML净化器等价物?
- 30. PHP&MySQL - HTML净化器和特殊字符显示问题
快速谷歌搜索买了这上来就笨维基:http://codeigniter.com/wiki/htmlpurifier/ – cchana