Сеанс кодигнита xss фильтрация
1
имеет ли смысл проверять, является ли элемент сеанса пользователя xss чистым?
Что-то вроде этого:
$item = $this->security->xss_clean($this->session->item);
Есть ли вероятность, что сеанс может содержать любой вредоносный код?
1 ответ
2
Лучший ответ
Короткий ответ: Да.
Если $this->session->item заполняется злонамеренным пользователем (например, input textbox или поддельные данные $_POST), то он уязвим для вредоносного кода.
Даже если эта переменная session действительно хранится в вашем сеансе, она может быть вставлена в базу данных, например.
mimimito
Поделиться
Ещё вопросы
- 1Создание пустого файла в каталоге
- 1StackService динамическое DTO
- 0Отключить кнопку PAY, когда статус «оплачен»
- 0ScrollTop, перенаправляющий на домашнюю страницу
- 1Manifest Merger Ошибка в проекте
- 0Нужно img: парить, чтобы не повлиять на макет
- 0соответствие html <form> с регулярным выражением Python, кроме «get»
- 0Knockout Mapping для изображения (ссылки) в Json
- 1Укажите имя БД / схемы Oracle в tomcat context.xml
- 1Следует ли усреднять метрики активных пользователей Firebase (DAU, WAU, MAU)?
- 0JQuery .post () возвращает HTML в таблицу
- 0Почему десятичные поля принимают буквы в предложении where?
- 1фреймворк первого кода не может подключиться к базе данных
- 1BitArray И операция
- 0Как удалить maridb и установить remysql в Centos 7, Linux?
- 0Объединить два массива, если одно из значений равно ключу
- 1Скачать холст в PNG на черном фоне
- 0Получение history.js для запуска функции
- 1Cordova Plugin - Используйте AAR
- 0Когда использовать & в C ++ при объявлении переменных?
- 1Передать целое число для запуска потока в Java
- 1генерировать штрих-коды, когда определенное количество вводится в текстовое поле,
- 0SHOW CREATE PROCEDURE имя_процесса не отображает содержание процедуры
- 0Как переключаться между методами событий jquery?
- 1Удалите некоторые значения массива для утверждения (транспортир)
- 0удаление родителями не работает с добавленными элементами
- 0JQuery AutoCompleter - мульти и пользовательские данные
- 0ASP.NET MVC4 проверка подлинности телефонного промежутка
- 1Использование Thrift с Java, org.apache.thrift.TApplicationException неизвестный результат
- 0jQuery UI-dialog- настройка кнопок динамически и передача значений в функцию
- 1Способы уменьшения глубины рекурсии в Python
- 0Использование локальной переменной функции в main
- 0Угловой файл JS скачать
- 0Изображения появляются в Chrome, но не в IE
- 0Угловое тестирование с кармой и жасмином
- 1Цикл проектов в решении в MSBuild
- 1Кодирование Crockford base32 для большого числа - реализация Java
- 0Ошибка с вызовом oleacc.dll - ошибка доступа запрещена 80020009
- 1(ASP.NET MVC4 C #) Вставьте UNICODE в SQL Server
- 1Как разместить кнопку в заголовке столбца CheckboxTableviewer? И когда я нажимаю эту кнопку, я хочу, чтобы все строки были выбраны
- 0Сортировка столбцов таблицы в AngularJS
- 0MySQL не запускается в панели управления Xampp в Windows 8.1
- 1Есть ли способ сделать поля классов изменяемыми только методами класса? [Дубликат]
- 0Проблема реализации вкладок с AngularJS с помощью stateProvider и пользовательского интерфейса
- 1Добавление атрибутов к сообщениям SOAP в node.js (node-soap)
- 0Программирование MFC: ошибка при компиляции: ошибка в коде потока
- 0HTML KickStart - восстановить стиль по умолчанию для полей ввода
- 0Создать массив из файла CSV, выбранного по типу файла ввода
$this->session->langРазумно ли и здесь? Если есть шанс, что пользователь будет манипулировать им и т. Д.$this->session->langустановлен браузером пользователя с помощью http-заголовкаAccept-Language, его можно изменить, см. Эту ссылку для практического примера.