堆栈内存溢出
  繁体   English   中英

Zend 框架的自动变量转义器

[英]Automatic variable escaper for Zend Framework

 原文  2011-06-29 13:00:18       php/ zend-framework/ escaping/ xss/ zend-view

问题描述

您能为 Zend Framework 1.x 的自动视图变量 escaping 推荐任何好的解决方案吗?

到目前为止我已经尝试过:

  • ZF2实施; 看起来它不会像这样转义变量语法: $this->var->object()->string
  • gnix-view ,非常好,但是有一个讨厌的递归错误
  • 基于view streams的自定义解决方案,类似于Rob Allen 的 escaper ,但使用 regex 解析语法总是失败
  • Twig(对视图助手和布局没有很好的支持)

2 个解决方案

解决方案1
 1  2011-07-05 11:16:44

这是我的解决方案

/**
 * Purifies all data passed to view
 *
 * @author miholeus
 */
class HTMLPurifier_View extends Zend_View {
    protected $_vars = array();

    public function __set($key, $val)
    {

        if(is_string($val)) {
            $purified = $this->escape($val);
        } elseif(is_array($val)) {
            $purified = array_map(array($this, 'traverseSingle'), $val);
        } else { // other types: integers, bools, objects
            $purified = $this->traverseSingle($val);
        }

        $this->_vars[$key] = array(
            'raw' => $val,
            'purified' => $purified
        );

        return $this;
    }

    public function getRaw($key)
    {
        if(isset($this->_vars[$key])) {
            return $this->_vars[$key]['raw'];
        }
        return null;
    }

    public function __get($key)
    {
        if(isset($this->_vars[$key])) {
            return $this->_vars[$key]['purified'];
        }
        return null;
    }

    private function traverseSingle($element)
    {
        if(is_object($element)) {
            $reflect = new ReflectionObject($element);
            foreach ($reflect->getProperties(ReflectionProperty::IS_PUBLIC) as $prop) {
              $element->{$prop->getName()} = $this->escape($element->{$prop->getName()});
            }
            return $element;
        } else {
            return $this->escape($element);
        }
    }
}

您需要做的就是在引导程序中将其设置为您的视图。

解决方案2
 0 已采纳  2011-07-04 13:26:39

如果我想制作一个自动转义器,我会创建一个在postDispatch中运行的 ZF 插件:

postDispatch() 在调度程序调度操作后调用。 此回调允许代理或过滤器行为。 通过改变请求并重置它的调度标志(通过 Zend_Controller_Request_Abstract::setDispatched(false)),可以指定一个新的动作来调度。 资源

mybe 对 htmlprifier 的一些使用将是一个聪明的工作:)

class Automatic_Escaper extends Zend_Controller_Plugin_Abstract{
   public function postDispatch(Zend_Controller_Request_Abstract $request)
    {
        $response = $this->getResponse();
        $htmlpurifier = Zend_Registry::get('purifier');
        $safe = $htmlpurifier->purify($response);
        return $this->setResponse($safe);
    }
}

我希望无论上述示例的状态如何,我都能解释我的想法。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 使用Composer无法成功安装zend-escaper Zend Framework在不活动后自动注销 Zend Framework 2将变量传递给模型 在Zend Framework中使用变量重定向URL zend框架从控制器获取一个变量来查看 在Zend Framework 2中声明模型变量的顺序 Zend Framework 2 onBootstrap重定向,路由中包含动态变量 从Zend Framework中的变量创建类实例 如何在Zend Framework中的URL开头添加变量? 将变量从Javascript传递到Zend框架控制器
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM