关于$config['global_xss_filtering'] = FALSE;配置

illidan · 发表于 2012-12-31 17:07:33

$config['global_xss_filtering'] = FALSE;

这个配置会对数据有什么样的影响？

好像我设成TRUE之后，字符串带'的都被转义成\'了，然后加了/r。

有没有大神简要的解释下CI防止XSS攻击的原理？

貝殼 · 发表于 2012-12-31 21:29:22

先弄懂XSS是神马，网上找几段攻击代码，再拿自己的CI程序测试看看输出结果就知道为什麽CI要这麽做了

illidan · 发表于 2013-1-1 08:28:43

貝殼发表于 2012-12-31 21:29
先弄懂XSS是神马，网上找几段攻击代码，再拿自己的CI程序测试看看输出结果就知道为什麽CI要这麽做了 ...

恩，我大概知道XSS攻击是什么。后来我又试了一下，这个参数加不加，CI都帮要帮你转义，存在数据库里的都转义过了。现在想知道的是：
1. 从数据库中读出的转以后的字符串，怎么展现？就是要去掉转义符
2. CI在哪些地方介入？

貝殼 · 发表于 2013-1-1 11:48:29

illidan 发表于 2013-1-1 08:28
恩，我大概知道XSS攻击是什么。后来我又试了一下，这个参数加不加，CI都帮要帮你转义，存在数据库里的都 ...

把你自己的测试代码（Controller丶View跟Model）贴出来吧。

一丶这个老实说我不清楚...（没看过这种设计需求）

二丶http://codeigniter.org.cn/user_guide/overview/appflow.html

Security

		自动登录	找回密码
密码			入住 CI 中国社区