имеет ли смысл проверять, является ли элемент сеанса пользователя xss чистым?
Что-то вроде этого:
$item = $this->security->xss_clean($this->session->item);
Есть ли вероятность, что сеанс может содержать любой вредоносный код?
Короткий ответ: Да.
Если $this->session->item
заполняется злонамеренным пользователем (например, input textbox
или поддельные данные $_POST
), то он уязвим для вредоносного кода.
Даже если эта переменная session
действительно хранится в вашем сеансе, она может быть вставлена в базу данных, например.
$this->session->lang
Разумно ли и здесь? Если есть шанс, что пользователь будет манипулировать им и т. Д.$this->session->lang
установлен браузером пользователя с помощью http-заголовкаAccept-Language
, его можно изменить, см. Эту ссылку для практического примера.