Home > Backend Development > PHP Tutorial > 处理XSS是做输入过滤好还是输出过滤好

处理XSS是做输入过滤好还是输出过滤好

WBOY
Release: 2016-06-06 20:41:31
Original
1549 people have browsed it

看到CI主要是在$this->input->get/post()里面做XSS过滤,Yii则主要是用Html::encode()或者HtmlPurifier::Process()在输出时做过滤。请问这两种方式哪种比较好,还是说Yii的过滤方式也可以用到输入时候?

回复内容:

看到CI主要是在$this->input->get/post()里面做XSS过滤,Yii则主要是用Html::encode()或者HtmlPurifier::Process()在输出时做过滤。请问这两种方式哪种比较好,还是说Yii的过滤方式也可以用到输入时候?

手册里面说对输入过滤是没有意义的,所以对输出过滤就行了

都要做,省不掉的。 一个是拦着危险代码入库,一个是拦着危险代码生效,缺一不可。

都得有,
输出过滤的场景应该是:
api 用户密码过滤之类的我觉得

Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template