views-view-fields--magazine--magazine.tpl.php我的网站上有很多这样的模板文件。我应该如何以及何时使用filter_xss()和check_plain()来提高安全性?例如,这是代码:
<div>
<div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div>
<div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div>
<div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div>
</div>
<div class="separator article-view-separator"></div>如何在其中应用这些功能?
Answers:
首先,在Drupal API中阅读这些内容:
因此,check_plain()将在HTML中具有特殊含义的特殊字符(例如<和&)编码为纯文本实体(即<和&),当该字符串作为页面的一部分与HTML标记。该函数filter_xss()过滤HTML字符串以防止跨站点脚本(XSS)漏洞。它做四件事:
这两个功能都用于清除用户的数据,以确保在将数据呈现到您的站点之前消除了任何用户注入。
你永远传递相同的字符串通过两种。
如果使用check_plain(),则应将传递给函数的字符串用作纯文本(而非HTML)。然后filter_xss()就不需要了,因为check_plain()它将始终使字符串为纯文本。
如果使用filter_xss(),则传递给该函数的字符串应该是HTML,check_plain()并将其弄乱。
当我查看用作示例的模板时,在我看来,传递给这三个字段的所有字段print()都来自已经经过消毒的内容,并且不再需要进行消毒。
但是,如果创建自己的模块来收集用户输入而不通过“安全的”文本过滤器(例如“过滤的HTML”或“纯文本”)传递用户输入,则必须将这些功能用于卫生目的。
plain text
filter_xss()时要XSS过滤器从潜在危险的内容(即不受信任的用户内容),并且check_plain()当你想从一个字符串HTML特殊字符转义