Kenji Suzuki
kenji****@gmail*****
2009年 10月 8日 (木) 20:26:04 JST
Kenji です。 On Thu, 08 Oct 2009 20:14:23 +0900 kunitsuji <tsuji****@m-s*****> wrote: > kunitsujiです。 > > Kenjiさん。 > CMSなどではすべて取り除くものもありますね。MyNETSはもともとタグも受け付 > けるタイプなので、あえて取り除くのはどうなのかなと思っています。 MyNETS は、タグを受け付けるんですか?今は、受け付けないですよね。 BBCode 使ってますし。 > 設定として、タグを受け付けるか受け付けないか、ということで受け付けないと > いう設定を持たせて判断するしかないですかね。 > > 受け付ける場合 > そのままサニタイズして表示 これは、xss_clean() して終わりということでしょうか? > 受け付けない場合 > 取り除いてしまう。 タグを受け付けない場合は htmlspecialchars() かけるだけで済みます。 // Kenji > MyNETSのデフォルトの部分なので、XSS_CLEANの扱いを決めたいと思います。 > > >Kenji です。 > > > > > >On Thu, 08 Oct 2009 19:25:05 +0900 > >kunitsuji <tsuji****@m-s*****> wrote: > > > >> kunitsujiです。 > >> > >> 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 > >> [remove]等で置き換わってしまいます。 > >> > >> これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ > >> のまま扱ったほうがいいのか、ご意見ください。 > > > >一概に言えないと思います。アプリというか入力値に依存するんじゃないでしょうか。 > >タグを許可する入力の場合は、要検討でしょうか。 > > > >私は、勝手に入力値が [remove] などに変わるのは嫌ですし、重いため、基本的には > >使いません。 > > > >あと、xss_clean がどこまで安全なのかは、よくわかってません。 > > > > > >// Kenji > > > >_______________________________________________ > >Usagi-developer mailing list > >Usagi****@lists***** > >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer > > _______________________________________________ > Usagi-developer mailing list > Usagi****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/usagi-developer
