这个安全方面的问题该如何解决?
$name = $this->input->post("name",TRUE);$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($name).")";
以上是我的在控制器和MODEL里的两条语句,我单独摘出来;我现在有两个问题:
1、是不是有了 $name = $this->input->post("name",TRUE); 的TRUE ,就不需要再用$this->security->xss_clean();而且也不需要在config里设置$config['global_xss_filtering'] = TRUE; 请问是,还是不是?
2、因为有了这个TRUE , 是不是我的SQL 也不需要写成 $sql = "INSERT INTO table (title) VALUES(".$this->db->escape($name).")"; ,而写成 $sql = "INSERT INTO table (title) VALUES('{$name}')";,请问是,还是不是?
第一个 问题是 的。在Input类里,设置了 第二个参数为TRUE, 就会帮你调用xss_clean(), global_xss_filtering也不需要设成TRUE。
第二个问题 不清楚。。为安全起见 为何不用 类似于 placeholder这样的功能呢。
页:
[1]