CodeIgniter의 XSS 필터 문제

Question

애플리케이션/controlers은/welcome.php

<?php 
class Welcome extends CI_Controller { 

    public function index() 
    { 
     if ($val = $this->input->post('test')) 
     { 
      var_dump($val); 
     } 
     else 
     { 
      $this->load->view('welcome_message'); 
     } 
    } 
} 

애플리케이션/XSS 함께 플레이/weclome_message.php

<form action="" method="POST"> 
<input type="text" name="test" /> 
<input type="submit" /> 
</form> 

출력을 필터링하고, 입력 %의 9C :

string(1) "œ" 

XSS 필터가 해제 된 출력 및 % 9c 입력 :

string(3) "%9c" 

첫 번째 값은 두 번째 값과 같을 것으로 예상했습니다. 정확히 무슨 일이 일어나고있는거야?

Answer 1

나는 그게 전부가 xss_clean 기능으로 인해

$str = rawurldecode($str); 

일어나는 생각합니다. 라인 (346)에서 살펴 보자 :

https://github.com/EllisLab/CodeIgniter/blob/develop/system/core/Security.php

당신은 그 라인을 언급하려고하고 어떻게되는지 볼 수 있었다.