cakephp3- wie XSS-Filterung zu tun? in meiner cakephp 3 Anwendung

Question

CakePHP Version Ich verwende ist 3.4.x

ich mehr als ein Dutzend Formen haben. Ich möchte XSS-Filter für alle Formulare implementieren. Was ist der einfachste Weg dies zu tun, ohne Änderungen an allen Formularfunktionen vorzunehmen?

Ich lese in einer Antwort, dass, um in einer Ansicht zu sterilisieren, wir die CakePHP-Komfortfunktion h ($ string) verwenden sollten, die alle Versuche an XSS völlig harmlos macht.

Ich habe versucht, aber ID hat nicht geklappt.

\ src \ Template \ Users \ view.ctp

<p><span>Address</span>: <?= h($user->address) ?></p> 

Gibt es eine Möglichkeit xss Filterung zu implementieren, bevor die Daten in die Datenbank zu speichern?

Meine Controller-Funktion (die für mich gebacken CakePHP) für

\ src \ Controllers \ UsersController.php

public function add(){ 
    $this->viewBuilder()->setLayout('admin') ; 
    $user = $this->Users->newEntity(); 
    if ($this->request->is('post')) { 
     $user = $this->Users->patchEntity($user, $this->request->getData()); 
     if ($this->Users->save($user)) { 
      $this->Flash->success(__('The user has been saved.')); 

      return $this->redirect(['action' => 'index']); 
     } 
     $this->Flash->error(__('The user could not be saved. Please, try again.')); 
    } 
    $groups = $this->Users->Groups->find('list', ['limit' => 200]); 
    $this->set(compact('user', 'groups')); 
    $this->set('_serialize', ['user']); 
} 

\ src \ Modell \ einen neuen Benutzer und seinen Info Hinzufügen Tabelle \ UsersTable.php

public function beforeSave(Event $event) 
{ 
    $entity = $event->getData('entity'); 

    if ($entity->isNew()) { 
     $hasher = new DefaultPasswordHasher(); 

     // Generate an API 'token' 
     $entity->api_key_plain = sha1(Text::uuid()); 

     // Bcrypt the token so BasicAuthenticate can check 
     // it during login. 
     $entity->api_key = $hasher->hash($entity->api_key_plain); 
    } 
    return true; 
} 

Vielen Dank!

Answer 1

Sie können Mutatormethode in Ihrer Benutzer-Entity-Klasse verwenden:

class User extends Entity 
{  
    protected function _setAddress($value) { 
     return strip_tags($value); 
    } 
} 

dieses Mutator verwenden, können Sie Eingabedaten ändern, bevor auf die Datenbank jedes Mal zu speichern, wenn Entität aktualisiert oder erstellt. Mehr über Mutatoren: https://book.cakephp.org/3.0/en/orm/entities.html#accessors-mutators

Sie können auch anders verwenden, aber ich schrieb diese Minute. Sie sollten diesen Code testen, wenn Sie ihn verwenden möchten. Mit $entity->getDirty() Methode können wir alle geänderten Felder erhalten, und ihre Werte in Table::beforeSave() Methode ändern:

public function beforeSave($event) 
{ 
    $entity = $event->getData('entity'); 

    $modified = $entity->getDirty(); 
    foreach((array) $modified as $v) { 
     if(isset($entity->{$v})) { 
      $entity->{$v} = strip_tags($entity->{$v}); 
     } 
    } 

    return true; 
}