언제 어떻게 filter_xss () 및 check_plain ()을 사용합니까?

views-view-fields--magazine--magazine.tpl.php내 웹 사이트에는 이와 같은 템플릿 파일이 많이 있습니다. 보안을 개선하기 위해 언제 어떻게 filter_xss () 및 check_plain ()을 사용해야합니까? 예를 들어 이것은 코드입니다.

<div>
    <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div>
    <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div>
    <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div>
</div>
<div class="separator article-view-separator"></div>

그 기능을 어떻게 적용 할 수 있습니까?

먼저 Drupal API에서 이에 대해 읽으십시오.

• filter_xss
• check_plain

따라서 check_plain()HTML에서 특별한 의미를 가진 특수 문자 (예 : <및 &)를 일반 텍스트 엔티티 (즉 <, &각각 )로 인코딩 하면 해당 문자열이 페이지의 일부로 표시 될 때 문자 그대로 (HTML로 해석되지 않음) 렌더링됩니다. HTML 마크 업. 이 함수 filter_xss()는 XSS (Cross-Site-Sscripting) 취약성을 방지하기 위해 HTML 문자열을 필터링합니다. 네 가지 일을합니다.

• 브라우저를 속일 수있는 문자 및 구문 제거
• 모든 HTML 엔티티가 올바른지 확인
• 모든 HTML 태그 및 속성이 올바른지 확인
• 허용되지 않는 프로토콜 (예 : javascript :)이 포함 된 URL에 HTML 태그가 포함되어 있지 않은지 확인

두 기능 모두 사용자 데이터를 삭제 하여 사이트에 데이터가 렌더링 되기 전에 사용자 주입이 중화되도록하는 데 사용 됩니다.

같은 문자열 을 둘 다 통과하지 마십시오 .

사용 check_plain()하는 경우 함수에 전달 된 문자열은 HTML이 아닌 일반 텍스트 로 사용됩니다 . 그리고 filter_xss()이후, 필요하지 않습니다 check_plain()항상 문자열 일반 텍스트를 만들 것입니다.

를 사용 filter_xss()하면 함수에 전달 된 문자열이 HTML로되어 check_plain()엉망이됩니다.

예제로 사용하는 템플릿을 살펴보면 전달 된 세 개의 필드가 모두 print()위생 처리 된 콘텐츠 에서 비롯된 것으로 더 이상 위생이 필요하지 않은 것처럼 보입니다 .

그러나 "Filtered HTML"또는 "Plain"과 같은 "안전한"텍스트 필터를 통과하지 않고 사용자 입력을 수집하는 고유 한 모듈 을 작성 하는 경우 위생 기능을 위해이 기능을 사용해야합니다.