testabc111 发表于 2012-4-19 18:32:14

关于安全过滤的流程(转义、XSS过滤什么时候使用)的问题

XSS是跨站攻击脚本,撇开CI过滤机制不谈。出于安全和用户体验来说,是否应该为这样一个过滤流程

1、input时
也就是用户输入的时候,不进行任何过滤,尽量原始保留用户输入状态

2、database时
也就是录入数据库时,只要进行add_slashes转义即可,保证能正常录入数据库,并且防止了注入

3、output时
也就是页面输出时,此时需要根据情况加上htmlspecialchars等操作,将<>' "等符号变成HTML编码,防止出现XSS攻击

如果按照input->database->output这样一个流程来开发,那么现在很多时候在input阶段就已经XSS过滤和转义了,大家觉得是不是应该按照我说的这样执行安全过滤呢?

暗夜星辰 发表于 2012-4-20 08:21:06

信息录入以后就可以开始攻击未必要等到入库 入库只是跨站攻击的一种而已

比如像前些日子爆出的DEDE注入木马漏洞

只要你提交的数据没有过滤就可以当做webshell执行 这样也是很危险的

指尖的殤魂 发表于 2012-5-4 14:50:46

一般怎么用过滤函数

spt119 发表于 2012-5-12 01:04:32

$this->security->sanitize_filename();
看手册。

太尉天上飞 发表于 2012-7-1 22:23:12

凤毛菱角,还得考虑很多:$
页: [1]
查看完整版本: 关于安全过滤的流程(转义、XSS过滤什么时候使用)的问题