1
Rabbit52 2012-12-04 19:50:27 +08:00
看需求进行选择
|
2
cxh116 2012-12-04 20:13:18 +08:00
个人偏向输出时过滤,这样以后还可以修补
输入时就过滤,以后出问题了改数据库麻烦 |
3
zooandzoo 2012-12-04 20:19:48 +08:00 1
输入,如果这个接口是开放的。。你要让对方自己去过滤去?
|
4
gamexg 2012-12-04 20:49:09 +08:00
建议输出,对外提供接口的话在接口处提供过滤就可以了。
|
6
twm 2012-12-04 21:40:04 +08:00
输入的时候进行效率高,以后查询不用做额外工作,但不够灵活。
输出的时候进行效率地,以后查询需要做额外工作,但很是灵活。 |
7
laiwei 2012-12-04 21:45:01 +08:00
建议输出!
|
8
MayLava 2012-12-04 22:19:43 +08:00
……我能很蛋疼的封装两个接口么?
第一个接口是输出html的 第二个接口是调用第一个接口然后过滤掉html |
9
binux 2012-12-04 23:12:41 +08:00
来自开放用户,输入。其他,输出
|
10
dallaslu 2012-12-05 09:38:49 +08:00
保存两份数据:
1、未经任何处理的原始数据 2、经过安全过滤的HTML代码 好处: 1、避免安全过滤方法的潜在缺陷影响内容 2、输出灵活,不需再次处理效率高 |
11
chloerei 2012-12-05 10:01:44 +08:00
输出过滤可以加 cache,性能和输入过滤一样。
|
12
xiaoks 2012-12-06 12:57:14 +08:00
输入输出都应该进行过滤 如果输入没有更好的过滤 很容易被绕过 还有非存储型xss 如果输出没处理 那就容易产生存储型xss 一样很可怕
|
13
Evance 2012-12-06 13:05:57 +08:00
输入输出都过滤。
什么性能什么麻烦在安全面前,其实优先级都不如它高。 这是开发的原则问题。 |
14
voidman 2012-12-06 16:27:43 +08:00
先过滤后输出
|
17
hehe 2012-12-06 23:30:53 +08:00
个人偏向输入+输出
|