search

Home  >  Q&A  >  body text

php - 处理XSS是做输入过滤好还是输出过滤好

看到CI主要是在$this->input->get/post()里面做XSS过滤,Yii则主要是用Html::encode()或者HtmlPurifier::Process()在输出时做过滤。请问这两种方式哪种比较好,还是说Yii的过滤方式也可以用到输入时候?

伊谢尔伦伊谢尔伦2902 days ago463

reply all(3)I'll reply

  • 迷茫

    迷茫2017-04-10 15:08:10

    手册里面说对输入过滤是没有意义的,所以对输出过滤就行了

    reply
    0
  • 阿神

    阿神2017-04-10 15:08:10

    都要做,省不掉的。 一个是拦着危险代码入库,一个是拦着危险代码生效,缺一不可。

    reply
    0
  • 巴扎黑

    巴扎黑2017-04-10 15:08:10

    都得有,
    输出过滤的场景应该是:
    api 用户密码过滤之类的我觉得

    reply
    0
  • Cancelreply