关于安全过滤的流程（转义、XSS过滤什么时候使用）的问题

testabc111

XSS是跨站攻击脚本，撇开CI过滤机制不谈。出于安全和用户体验来说，是否应该为这样一个过滤流程

1、input时
也就是用户输入的时候，不进行任何过滤，尽量原始保留用户输入状态

2、database时
也就是录入数据库时，只要进行add_slashes转义即可，保证能正常录入数据库，并且防止了注入

3、output时
也就是页面输出时，此时需要根据情况加上htmlspecialchars等操作，将<>' "等符号变成HTML编码，防止出现XSS攻击

如果按照input->database->output这样一个流程来开发，那么现在很多时候在input阶段就已经XSS过滤和转义了，大家觉得是不是应该按照我说的这样执行安全过滤呢？

暗夜星辰

信息录入以后就可以开始攻击未必要等到入库 入库只是跨站攻击的一种而已

比如像前些日子爆出的DEDE注入木马漏洞

只要你提交的数据没有过滤就可以当做webshell执行 这样也是很危险的

指尖的殤魂

一般怎么用过滤函数

spt119

$this->security->sanitize_filename();
看手册。

太尉天上飞

凤毛菱角，还得考虑很多