XOOPS Cubeではサニタイズ用の関数が準備されています。文字列の取り扱いの際にはデータ取得元によって以下の処理を行う事により脆弱性のリスクを回避する事ができます。
【文字列型(テキストエリア以外)】
・$_GET/$_POSTの通常表示・・・$myts->stripSlashesGPC 後 $myts->htmlSpecialChars
・$_GET/$_POSTのフォーム内表示・・・$myts->stripSlashesGPC 後 $myts->htmlSpecialChars
・DB取得データの通常表示・・・$myts->htmlSpecialChars
・DB取得データのフォーム内表示・・・$myts->htmlSpecialChars
【文字列型(テキストエリア)】
・$_GET/$_POSTの通常表示・・・$myts->previewTarea
・$_GET/$_POSTのテキストエリア内表示・・・$myts->stripSlashesGPC 後 $myts->htmlSpecialChars
・DB取得データの通常表示・・・$myts->displayTarea
・DB取得データのテキストエリア内表示・・・$myts->htmlSpecialChars
0 件のコメント:
コメントを投稿