CI 묻고 답하기

제목 Input Class의 XSS를 스위치에 대한 질문입니다.
글쓴이 mike 작성시각 2013/08/28 16:21:00
댓글 : 2 추천 : 0 스크랩 : 0 조회수 : 13041   RSS

안녕하세요.
XSS를 옵션 파라메터의 on상태와 off상태를 비교해 보는 도중에 궁금한게 생겨 질문드립니다.
inputclass의 post의 두번째 파라메터에 대한 질문입니다.


 echo $this->input->post('title', true); 
이 경우 HTMLentities와 동일하게 작동하는 때도 있고, 특정 태그 예를 들어 <script>같은 경우 [removed]로 대체되어 표시되는 것같습니다.

 echo $this->input->post('title' ); 
이 경우, 자체 해석해서 위험하다고 판단되는 문자들을 출력하지않는 걸로 보입니다.

...false가 필요한 경우는 어떤 경우인지 도무지 예가 떠오르지 않네요. true를 쓰지않는 경우가 있다면 어떤 경우인지요?
태그 xss,input class
 다음글 route 사용자 이름으로 쓰기 (7)
 이전글 컨트롤러 디비 반환값 (3)

댓글

변종원(웅파) / 2013/08/28 16:43:37 / 추천 0
일일이 다 열거하기는 힘들고요.

system/core/Security.php 열어서 xss_clean() 함수를 보시는게 좋을 것 같네요.

false가 기본값이고 true일 경우 위 xss_clean() 함수가 적용됩니다.
mike / 2013/08/29 13:04:19 / 추천 0
답변 감사합니다. 소스를보니 multi-whitespace처리와 위험한 태그를 replace 하는등의 처리를 하네요. false로 처리하면 처리속도가 조금 빨라진다 정도의 장점인 것같네요.