使用 xss_clean 剥离 Codeigniter php 标签
为什么如果我传递 $_POST['string'] = "" 然后我用 echo $this- 将其传递给 xss_clean() >input->post('string',true); 输出为 <?php echo 'hey' ?&gt; 和不是作为 ??
Why if i pass a $_POST['string'] = "<?php echo 'hey' ?>" then i pass it to the xss_clean() with echo $this->input->post('string',true); it is outputted as <?php echo 'hey' ?> and not as <?php echo 'hey' ?> ??
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
如果您查看源代码,您会发现 xss_clean 方法做了很多繁重的工作。它不仅仅是一个
htmlspecialchars()调用。如果你想在页面中显示 php 代码,我会先对其进行转换,然后对其进行清理。If you take a look at the source code, you can see that the xss_clean method does a lot of heavy lifting. It's more than just a
htmlspecialchars()call. If you're wanting to display php code in a page, I would convert it first, then sanitize it.