我在项目中为编辑器使用了漂亮的编辑器,公共用户可以使用编辑器来插补他们的数据。在服务器端,我正在获取价值,并在打印后直接在视图中查看。
所以我担心安全方面,你能解释一下哪个区域应该小心吗?我的代码如下:
控制器:
$desc = $this->input->post('desc', TRUE);
视图:
echo $desc;
通常,使用包含的 CI 的安全类时是安全的。只要确保您在每个输入>帖子上使用 TRUE 标志,或者您在配置文件中启用了 XSS 过滤。 $config['global_xss_filtering'] = TRUE;
摘自CI的文档:
CodeIgniter 带有一个跨站点脚本黑客预防过滤器 它可以自动运行以过滤所有 POST 和 COOKIE 数据 遇到这种情况,或者您可以按项目运行它。默认情况下 它不会全局运行,因为它需要一些处理 开销,并且由于您可能并非在所有情况下都需要它。
XSS 筛选器查找常用的触发技术 试图劫持 cookie 或 其他恶意的东西。如果遇到任何不允许的事情,它是 通过将数据转换为字符实体来确保安全。
为了增加针对跨站请求伪造 (CSRF( 的安全性,您还可以启用 CI 的 CSRF 保护。这将为您的 html 表单(当您使用 form_open() 时(提供额外的输入,其中包含用于在应用程序中保护的令牌。
当然,您永远不应该信任用户输入,并且您可能希望根据应用程序的使用情况对输入使用另一层安全性。您可以尝试使用 htmlentities(( 只是为了更加确定没有恶意的 javascript 会被保存到您的数据库中或显示给您的访问者。