个人中心
文章发布
退出
作者热门文章
- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
25
4
如果我正在清理我的数据库插入,并且还转义了我使用 htmlentities($text, ENT_COMPAT, 'UTF-8') 编写的 HTML - 是否还需要过滤输入使用 xss_clean?它还有哪些其他好处?
最佳答案
xss_clean()很广泛,也很愚蠢。这个函数的 90% 对防止 XSS 没有任何作用。比如找字alert但不是 document.cookie .没有黑客会使用 alert在他们的利用中,他们将使用 XSS 劫持 cookie 或读取 CSRF token 以制作 XHR。
然而运行htmlentities()或 htmlspecialchars()与它是多余的。 xss_clean() 的案例修复了问题并 htmlentities($text, ENT_COMPAT, 'UTF-8')失败如下:
<?php
print "<img src='$var'>";
?>
一个简单的 poc 是:
http://localhost/xss.php?var=http://domain/some_image.gif'%20onload=alert(/xss/)
这将添加 onload=图像标签的事件处理程序。停止这种形式的 XSS 的方法是 htmlspecialchars($var,ENT_QUOTES);或者在这种情况下 xss_clean()也将阻止这种情况。
但是,引用 xss_clean() 文档:
Nothing is ever 100% foolproof, ofcourse, but I haven't been able to getanything passed the filter.
也就是说,XSS 是一个 output problem 不是 input problem .例如,此函数无法考虑变量已经在 <script> 中。标记或事件处理程序。它也不会阻止基于 DOM 的 XSS。您需要考虑您如何使用数据,以便使用最佳功能。过滤所有输入数据是不好的做法。它不仅不安全,而且还会破坏数据,使比较变得困难。
关于php - CodeIgniter - 为什么使用 xss_clean,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5337143/
25
4
0
我想扩展调用 getMessage 时返回自定义消息的异常类。 class MY_Exceptions extends CI_Exceptions{ function __construct
我已经安装了一个干净的 Apache2(加上 PHP 和 MySQL)服务器并启用了 mod_rewrite在 apache 配置中。 我添加了 .htaccess文件以从 url 中删除 index
我正在使用上传类上传图片。但是我上传的图片的存储位置是:http://www.mysite.com/uploads/ 此文件夹的绝对路径是:c:\wamp\www\mysite\uploads\ 应用
大家好 我想在codeigniter上下文中提供一些静态html页面。我不想绕过base_url中的index.php文件。 但是,当我使用对HTML文件的调用时,它不会显示404错误页面。 感谢已经
我一直想知道在模型中以 OO 风格编写代码的正确方法是什么。当然,您可以拥有一个从数据库中检索数据然后映射到模型级变量的函数。但是,当您在模型中有其他功能试图从 BD 获取其他数据时,这种方法会变得违
之前所有的 JOIN 尝试都给我留下了填充结果的 id、标题键的光盘或项目数据(可能发生了冲突)。 所以我有: item table fields: id, title disc table fiel
假设我在 Controller 中有一个名为 的方法 book($chapter,$page); 其中 $chapter 和 $page 必须是整数。要访问该方法,URI 将如下所示 book/cha
我有一个用户可以注册的页面。他在此过程中上传了个人资料照片。我想限制大小,但除了 $config['maxsize'] 之外,并没有太多强调 codeigniter 文档。我尝试了以下但我没有收到任何
我需要将 CodeIgniter 设置为真正的多语言网站。我已经搜索过,但找不到解决方案。 我已经测试了这种方法,但它不起作用。 ( http://codeigniter.com/wiki/Categ
CodeIgniter 中的常量是否可以用于整个站点中的重复文本(比如元标记和元描述)?就像是: define('METADESCRIPTION', 'This is my site'); 然后将 M
我已经在 CodeIgniter 的路由器中写了这个。 $route['companyname'] = "/profile/1"; 这工作正常,但是当我在 URL 中键入“公司名称”时,它不起作用。这
我正在开始我的第一个 CodeIgniter 项目,并希望在开始之前获得一些建议。我对 Controller 和模型的名称如何工作感到有些困惑。 如果我希望我公司页面的网址为 http://examp
可以在CodeIgniter Active Record中使用多个INSERT记录,而无需for,foreach等。 我当前的代码: foreach($tags as $tag) { $tag
SELECT * FROM certs WHERE id NOT IN (SELECT id_cer FROM revokace); 如何在 CodeIgniter 事件记录中编写上述 select
wkhtmltopdf 听起来是一个很好的解决方案...问题是 exec 上没有任何反应 shell_exec("c:\wkhtmltopdf.exe","http://www.google.com
我当前的CodeIgniter有点问题。我有一个带有“页面” Controller 的CI安装程序,该 Controller 可从/ views加载静态文件,但它最多只能包含1个子文件夹,而我正在向其
有一段时间,我一直在处理分页类中的一个问题。 问题是,除了第 1 页的链接之外,所有分页的内容都可以。 所有链接都是这样的: example.com/method/page/2 example.com
我想对请求进行一些预处理和后处理,例如处理身份验证、加载上下文数据、性能时间等等。来自 Django 的概念是 MIDDLEWARE_CLASSES这让我可以在各个阶段处理请求:https://doc
我想通过创建自己的库和配置文件在 CodeIgniter 中生成全局变量。这就是我在我的库文件中编写的,比如说 globalvars.php。我把它放在/application/libraries 中
我有以下分页样式 Previous Page
我是一名优秀的程序员,十分优秀!