Codeigniter XSS滤镜不适用于图像注入？

Question

CI的新手，试图避免在输入字段中注入一些代码。

在我的登录文本中输入名称，其中一个图像<img src="http://vignette1.wikia.nocookie.net/markiplier/images/a/a4/EvilGame.jpg/revision/latest?cb=20151015031339" >后跟。 我想：

1. 设置global_xss_filtering $config['global_xss_filtering'] = TRUE;

2. $login=$this->input->post('login', TRUE);

3. $login = $this->security->xss_clean($login);

不过，非以上可以缓解图像，当我回声$登录。我是否正确实施了XSS过滤器？或者我误解了CI XSS过滤器的用法？

Answer 1

xss_clean()仅用于过滤输出（并且对输入不做任何操作），而global_xss_filtering已被弃用。 Apparently xss_clean was laughably bad in 2011。我不知道是否通过重写。

这是关于输入验证会谈

http://phpsecurity.readthedocs.io/en/latest/Input-Validation.html

而且这个（有用的，但日）

What's the best method for sanitizing user input with PHP?

这谈论XSS预防。 https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

这也适用于XSS。

https://paragonie.com/blog/2015/06/preventing-xss-vulnerabilities-in-php-everything-you-need-know