全局数据清理实用工具插件cakephp 2.6

Question

我想保护我的CakePHP 2.6网站免受黑客攻击。我开始了解App::uses('Sanitize'，'Utility')；Sanitize::clean()；

我不想在我的所有控制器中编写这个函数，因为我有很多控制器。有没有人能告诉我从appcontroller.php中清理数据的方法，或者任何可以编写清理代码的地方。

我确信肯定有一个地方可以验证来自xss的所有字段。

请给我引路。

Answer 1

在控制器上强制HTML编码不是一种适当的缓解方法。事实上，对每个输入执行HTML编码可能会导致！另一个麻烦。

例如，假设用户的名字是O‘’neal。自动缓解库将更改该单引号。这意味着您将把一个无效名称保存到数据库中。

解决方案是输出编码。它与框架的模板引擎相关。大多数现代引擎都强制对危险字符进行编码，如<或&等。