看到ci主要是在$this->input->get/post()里面做xss过滤,yii则主要是用html::encode()或者htmlpurifier::process()在输出时做过滤。请问这两种方式哪种比较好,还是说yii的过滤方式也可以用到输入时候?
回复内容:
看到ci主要是在$this->input->get/post()里面做xss过滤,yii则主要是用html::encode()或者htmlpurifier::process()在输出时做过滤。请问这两种方式哪种比较好,还是说yii的过滤方式也可以用到输入时候?
手册里面说对输入过滤是没有意义的,所以对输出过滤就行了
都要做,省不掉的。 一个是拦着危险代码入库,一个是拦着危险代码生效,缺一不可。
自学 PHP、MySQL和Apache
下载
本书将PHP开发与MySQL应用相结合,分别对PHP和MySQL做了深入浅出的分析,不仅介绍PHP和MySQL的一般概念,而且对PHP和MySQL的Web应用做了较全面的阐述,并包括几个经典且实用的例子。 本书是第4版,经过了全面的更新、重写和扩展,包括PHP5.3最新改进的特性(例如,更好的错误和异常处理),MySQL的存储过程和存储引擎,Ajax技术与Web2.0以及Web应用需要注意的安全
都得有,
输出过滤的场景应该是:
api 用户密码过滤之类的我觉得
