xss过滤字符在那里改?

kimelove

$config['global_xss_filtering'] = TRUE;这个开启后.过滤字符在那里改?我有一些还需要去掉.&、<、>、"、'、(、)七种特殊字符?

kimelove

Hex 发表于 2016-12-22 14:53
那你这个不是 xss 过滤的功能啊，不建议放到 xss 过滤中，这样会造成混乱，以后代码就不好维护了。 ...

Xss注入成功，timeout未对&、<、>、"、'、(、)七种特殊字符进行编码。这要怎么处理?

Hex

kimelove 发表于 2016-12-22 18:10
因为打开了csrf_protection,前台是用HTML做的.现在做成HTTPS,取不到cookie有没有什么办法啊. ...

我感觉你说这些都不是一码事呀，HTTPS 的问题要具体看是什么问题，原则上不会影响 Cookie

Hex

kimelove 发表于 2016-12-22 15:19
Xss注入成功，timeout未对&、、"、'、(、)七种特殊字符进行编码。这要怎么处理? ...

XSS 过滤和 SQL 注入是两码事，XSS 过滤不会防 SQL 注入，防注入是通过 QueryBuilder 做的。

Hex

那你这个不是 xss 过滤的功能啊，不建议放到 xss 过滤中，这样会造成混乱，以后代码就不好维护了。

kimelove

Hex 发表于 2016-12-22 16:45
XSS 过滤和 SQL 注入是两码事，XSS 过滤不会防 SQL 注入，防注入是通过 QueryBuilder 做的。 ...

因为打开了csrf_protection,前台是用HTML做的.现在做成HTTPS,取不到cookie有没有什么办法啊.

kimelove

Hex 发表于 2016-12-22 18:11
我感觉你说这些都不是一码事呀，HTTPS 的问题要具体看是什么问题，原则上不会影响 Cookie ...

问题比较多.

huxuebao

$this->input->get($key, $xss_clean);

huxuebao

$xss_clean = true

smartweb

huxuebao 发表于 2016-12-23 15:54
$this->input->get($key, $xss_clean);

$this->input->get($key,true);
这个也一样吧，好象默认就是true了