$this->input->post() содержит только данные публикации. .
Вы всегда можете вызвать $this->input->post(NULL, TRUE); в соответствии с инструкциями, чтобы вернуть данные, отфильтрованные через фильтр XSS.
Вы можете увидеть здесь , что именно происходит, если он в основном перестраивает массив $ _POST, используя fetch_from_array .Это вызывает модуль безопасности для XSS $this->security->xss_clean($array[$index]); (если для XSS-фильтра задано значение true).
Если есть что-то, что XSS-фильтр не улавливает, ваш код будет открыт.
Обычно я никогда не фильтровал бы свои необработанные входные данные, как это, до того, как они будут использованы , а скорее только тогда, когда они собираются использоваться, и таким конкретным способом.
Вредоносное содержимоеЭто почти невозможно предотвратить, если вы фильтруете его при вводе, потому что он предназначен для работы в качестве вывода.
- При печати в HTML-документе убедитесь, что ваши специальные символы в кодировке html
- При вызове SQL убедитесь, что вы запускаете параметризованные запросы без использования SQL-инъекций
- Когда вы делаете системные вызовы, не позволяйте им контролировать вашу систему.
Как уже упоминалось в комментариях к моему ответу, входной фильтр XSS является неадекватной попыткой предотвращения атак.
В случае сомнений обратитесь к OWASP.