Codeigniter XSSフィルタが画像注入に使用できませんか？

Question

初心者からはじまり、入力フィールドでコードの挿入を避けようとしています。

私のログインテキストには、名前を入力し、1つの画像には<img src="http://vignette1.wikia.nocookie.net/markiplier/images/a/a4/EvilGame.jpg/revision/latest?cb=20151015031339" >と入力します。 私が試した：

1. しかしglobal_xss_filtering $config['global_xss_filtering'] = TRUE;

2. $login=$this->input->post('login', TRUE);

3. $login = $this->security->xss_clean($login);

を設定し、私は$ログインをエコー時には、上記の非は画像を容易にすることができます。 XSSフィルターを正しく実装していますか？または私はCI XSSフィルタの使用法を誤解していますか？

Answer 1

xss_clean()は出力のみをフィルタリングするためのもので、入力用には何もしません。global_xss_filteringは推奨されていません。 Apparently xss_clean was laughably bad in 2011。それが書き直されたのかどうかはわかりません。

http://phpsecurity.readthedocs.io/en/latest/Input-Validation.html

入力検証に関する

この会談もこれはXSS防止について語っ本（便利な、しかし日付）

What's the best method for sanitizing user input with PHP?

。 https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

これはXSSでもです。 ourmandave-多くのおかげで@

https://paragonie.com/blog/2015/06/preventing-xss-vulnerabilities-in-php-everything-you-need-know