htmlspecialchars() 또는 html_escape() 전체 PHP/Codeigniter 기본 웹 사이트를 적용 할 수 있습니까?

Question

저는 Codeigniter 기반 시스템을 구축했습니다.

편집 화면에서는 데이터베이스에서 값을 가져 와서 입력 필드에 표시합니다.

예 :

<input type="text" class="form-control" required="" name="tes_title" value="<?php echo htmlspecialchars($tes_info['tes_title']); ?>"> 

은 그래서 일부 값은 큰 따옴표와 작은 따옴표를 포함하고 있기 때문에 htmlspecialchars을 사용했다. 그러나 모든 입력에 수동으로 추가하는 데는 많은 시간이 걸립니다.

htmlspecialchars() 또는 html_escape() 전체 사이트를 적용 할 수있는 방법이 있습니까? 내 말은

도 나는 편의 기능을 쓰기가 <input type="text" class="form-control" required="" name="tes_title" value="<?php echo htmlspecialchars($tes_info['tes_title']); ?>">

Answer 1

로 일해야 <input type="text" class="form-control" required="" name="tes_title" value="<?php echo $tes_info['tes_title']; ?>">를 사용합니다.

<?php 

function e($str) { 
    //return escaped string. 
} 

그리고 필요한 경우 출력에 사용 :

<?= e($foo) ?> 

을하지만 당신의 입력 출력으로 한정 것입니다. 필요한 곳을 탈출하고 적절하게 탈출하십시오.

Codeigniter는 html_escape 도우미 함수가 구워졌으며 htmlspecialchars를 감싸는 래퍼입니다. 또한 입력으로 배열을 사용합니다.

(컨트롤러에서)보기로 전달하기 전에 데이터를 사전 처리 할 수 ​​있습니다. 그러나 혼란스럽고 다루기 힘들어 질 수 있습니다. 여러분이 지나가는 모든 것을 벗어나고 싶지 않을 수도 있습니다.

Answer 2

모든 제출마다 후크를 정의 할 수 있습니다.

if ($this->input->post()) {  
    foreach($this->input->post() as $post) 
    $newValue = htmlspecialchars($post); 
}