如何使用 Kohana 2 或 KO3 自动转义视图中的数据

Question

从模型或控制器中转义数据以轻松安全地在视图中显示数据的最佳方法是什么？对每个数据变量使用 html::specialchars($varname) 似乎有些过分了。如果程序员忘记“转义”数据，也可能会导致问题。

我还遇到过在循环内转义 ORM 对象的问题。

Answer 1

我编写了 gimpe 建议的 Twig 模块，默认情况下它会自动转义所有数据。您可能还想了解 Kostache。它是一个基于类的视图系统，可以自动转义。

关于您的评论：

有没有办法直接从模型中执行此操作

您不想在此处转义数据，因为 HTML 转义数据在所有输出格式中都没有意义，例如：JSON 和 XML。

在视图级别进行转义。

Answer 2

实现这一目标的一种方法是使用 Twig 之类的模板引擎来处理视图。 （参见 KO3 模块http://github.com/ThePixelDeveloper/kohana-twig）

然后你只需需要加载Escaper扩展：

Twig_Extension_Escaper：添加自动输出转义以及转义/取消转义代码块的可能性。

参考：http://www.twig-project.org/book/ 03-Twig-for-开发人员