дополнительно это-> здесь безопасность еще нужна?

Question

в некоторых приложениях CakePHP вы можете найти

preg_replace('/["\']/', '”', addslashes(strip_tags($thisHere)))

, как в http://noserub.googlecode.com/svn/branches/development/app/app_controller.php, где $ this-> Controller-> здесь каким-то образом «дополнительно защищено»

а) что именно / было проблема с этим?это может повредить приложение?Я не могу себе представить, что «или» может нанести ему какой-либо вред.

b) это все еще полезно? Или все «возможные опасности» уже исправлены в более современных версиях тортов? Если так: есть ли какое-либо применениесценарии, в которых можно было бы на самом деле протестировать возможные проблемы?

ПРИМЕЧАНИЕ: в 2.0 он переместился в «$ this-> request-> here» - но все еще содержит текущий абсолютный URL (/ controller / action /..).

Answer 1

кажется, что метод совершенно не нужен, так как помощник по формам должен сбежать автоматически. а для всех других случаев использования вам нужно просто избежать URL.

со ссылкой на http://groups.google.com/group/cake-php/browse_thread/thread/39e1024efe918e66/efb8ee0bea7bcd1

Answer 2

Я думаю, что комментарий над рассматриваемой строкой довольно ясен:

/**
 *  Don't you EVER remove this line else you will make the whole 
 *  application a swiss cheese for XSS!
 *  We often call echo $this->here in our form actions and this would
 *  be exactly where the injection would take place.
 */
$this->here = preg_replace('/("|\')/', 'â€', addslashes(strip_tags($this->here)));