| 제목 | Input Class의 XSS를 스위치에 대한 질문입니다. | ||
|---|---|---|---|
| 글쓴이 | mike | 작성시각 | 2013/08/28 16:21:00 |
|
|
|||
|
안녕하세요. XSS를 옵션 파라메터의 on상태와 off상태를 비교해 보는 도중에 궁금한게 생겨 질문드립니다. inputclass의 post의 두번째 파라메터에 대한 질문입니다. echo $this->input->post('title', true); 이 경우 HTMLentities와 동일하게 작동하는 때도 있고, 특정 태그 예를 들어 <script>같은 경우 [removed]로 대체되어 표시되는 것같습니다. echo $this->input->post('title' ); 이 경우, 자체 해석해서 위험하다고 판단되는 문자들을 출력하지않는 걸로 보입니다. ...false가 필요한 경우는 어떤 경우인지 도무지 예가 떠오르지 않네요. true를 쓰지않는 경우가 있다면 어떤 경우인지요? |
|||
| 태그 | xss,input class | ||
| 다음글 | route 사용자 이름으로 쓰기 (7) | ||
| 이전글 | 컨트롤러 디비 반환값 (3) | ||
|
변종원(웅파)
/
2013/08/28 16:43:37 /
추천
0
|
|
mike
/
2013/08/29 13:04:19 /
추천
0
답변 감사합니다. 소스를보니 multi-whitespace처리와 위험한 태그를 replace 하는등의 처리를 하네요. false로 처리하면 처리속도가 조금 빨라진다 정도의 장점인 것같네요.
|
system/core/Security.php 열어서 xss_clean() 함수를 보시는게 좋을 것 같네요.
false가 기본값이고 true일 경우 위 xss_clean() 함수가 적용됩니다.