Глобальный плагин очистки данных утилита cakephp 2.6

Question

Глобальный плагин очистки данных утилита cakephp 2.6

Я хочу защитить свой сайт CakePHP 2.6 от взлома XSS. Я узнал о приложении:: использует ("Sanitize", "Утилита"); Санируйте:: чистые ();

Я не хочу писать эту функцию в моем контроллере all, так как у меня много контроллеров. Может кто-нибудь сказать мне, как дезинфицировать данные из appcontroller.php или любой другой точке, где я могу написать дезинфицирующий код.

Я уверен, что должно быть место для проверки всех полей из xss.

Пожалуйста, ведите меня.

0

security cakephp xss cakephp-2.0 cakephp-2.6

Источник

user1537511 17 июн '16 в 08:07

1 ответ

Другие вопросы по тегам security cakephp xss cakephp-2.0 cakephp-2.6

user1864545 17 июн '16 в 11:49 2016-06-17 11:49 · Answer 1 · 2016-06-17 11:49

Принудительное кодирование HTML на контроллере не является подходящим способом смягчения последствий. Фактически, выполнение HTML-кодирования на каждом входе может быть причиной! другие неприятности.

Например, допустим, что имя пользователя O'neal. Библиотеки автоматического смягчения изменят эту одинарную кавычку Это означает, что вы собираетесь сохранить недействительное имя в базе данных.

Решением является выходное кодирование. Который связан с движками шаблонов фреймворка. Большинство современных движков принудительно кодируют опасные символы, такие как <или & и т. Д.