xss_clean (set_value ('field_name')) или set_value ('field_name') достаточно безопасен?

Question

В CodeIgniter3's documentation says,

В значительной степени неизвестное правило об очистке XSS является то, что она должна быть применяется только для вывода, в отличие от входных данных.

Должен ли я всегда использовать xss_clean() перед выдачей данных пользователя? Или set_value делает это для меня?

Answer 1

Да, set_value() действительно применяет XSS-дезинфекцию по умолчанию.

Однако будьте осторожны при использовании его вместе с другими вспомогательными функциями формы, потому что они делают это также, и вы не хотите двойного экранирования. As explained in the manual, вы можете отключиться, пройдя (boolean) FALSE в качестве третьего параметра для set_value().