kohana 2.3.4를 사용하고 있는데, "Embed Google Map Code"라는 텍스트 영역이 있습니다. 시스템은 자동으로 Iframe 태그를 제거하고 데이터베이스에 삽입하지 않습니다. 여기에 삽입/업데이트를위한 코드 스 니펫이 있습니다.mysql db에 iframe을 삽입 할 수 없습니다.
$this->db->query("UPDATE tbl_sites SET map_code='$_POST[map_code]' WHERE id=$id");
$ _POST 배열로 인덱싱 할 때 따옴표를 잊어 버린 것 같습니다. 이 시도 :
$this->db->query("UPDATE tbl_sites SET map_code='{$_POST["map_code"]}' WHERE id={$id}");
또한 쿼리에서 사용하기 전에 $_POST 배열에서 오는 값을 sanitize 할 수 있는지 확인해야합니다.
그 쿼리는 사기스러운 것처럼 보입니다. 그러나 레코드를 올바르게 업데이트하는 것이 확실하고 Kohana가 iframe을 제거하는 경우 XSS 필터링 문제 일 수 있습니다. 전역 XSS 필터링을 해제하려고 했습니까? http://docs.kohanaphp.com/general/security#cross_site_scripting_xss
감사합니다 badsyntax, 이해가됩니다. – jalf
감사합니다. JK. 지금 시도해 보겠습니다. 나는 kohana의 $ this-> input-> post()를 사용할 것이다. 자동으로 값을 살균합니다. – jalf
여전히 동일한 JK, iframe 태그는 데이터베이스에 삽입하지 마십시오 – jalf
오류 메시지가 있습니까? –