xss攻击:跨站脚本攻击(攻击者网web里面插入恶意的script代码,用户浏览的时候script代码就会执行,会恶意攻击用户)
如果我们不放在xss攻击
攻击者在商品名称新增输入框,输入如下的script代码
其他用户在进入商品列表展示页面的时候,就会看见这个弹窗
妨碍用户访问网页
将用户输入的特殊字符<>,转化为html实体字符
在application\config.php中设置默认全局过滤方法
尝试着攻击一下插入script代码,此时看你的内容展示页面
内容类似于这个样子,但是他没有弹窗
存入数据表的话,script标签的尖括号会转为实体字符
原文:https://www.cnblogs.com/guobusong/p/15167974.html