CakePHP 1.3: защита форм от XSS

Question

Как я могу защитить свой сайт CakePHP 1.3 от XSS.В настоящее время я использую $ this-> Form-> create для создания формы, и я также попытался добавить Security в массив Components без какого-либо успеха.Предполагается, что я загружаю следующий код javascript в поле для комментариев, этот код проходит через всю базу данных, и если я одобряю этот комментарий, он покажет кнопку, где предполагается, что комментарий будет возвращен.И если я нажму на него, появится окно с предупреждением XSS Alert?

<form>
    <input type="button" onclick="alert('XSS Alert?')" value="Confirmation Alert">
</form>

Как я могу защитить свой сайт CakePHP и предотвратить подобные вещи.*

Answer 1

CakePHP не защитит вас от этого.

Компонент Security предназначен для того, чтобы ваша форма не была подделана.

Вам нужно будет использовать встроенные функции php, такие как htmlentities () или класс CakePHP Sanitize.

Вы можете сделать это в обратных вызовах beforeSave, beforeValidate или на уровне просмотра, если хотите сохранить исходные данные.

http://book.cakephp.org/1.3/en/view/1185/html

http://ca.php.net/manual/en/function.htmlentities.php