CodeIgniter过滤HTML危险代码

CodeIgniter过滤HTML危险代码的方法其实有好几种：

1.可以选择使用htmlspecialchars()方法过滤。

2.可以将config文件夹下面的config.php文件中的$config['global_xss_filtering'] = FALSE;设置为：$config['global_xss_filtering'] = true;但是这样设置后会加大服务器的开销的。所以看情况来设置。

3.可以在$this->input->post('content')这样的post里面的第二个参数设置为true：$this->input->post('content'，true);

CodeIgniter 包含了跨站脚本攻击的防御机制，它可以自动地对所有POST以及COOKIE数据进行过滤，或者您也可以针对单个项目来运行它。默认情况下，它 不会 全局运行，因为这样也需要一些执行开销，况且您也不一定在所有情况下都用得到它.

XSS过滤器会查找那些常被用来触发JavaScript或者其他类型的企图劫持cookie或进行其它恶意行为的代码. 如果发现任何不允许的内容，它将把那些内容转换为字符实体，以确保安全.

注意: 此函数只应该用来处理那些提交过来的数据. 它不适合在常规运行时使用，因为它执行时的开销也是不容忽视的.

要使用XSS过滤器对数据进行过滤，请使用此函数:

$this->security->xss_clean()

下面是一个使用实例:

$data = $this->security->xss_clean($data);

如果你希望过滤器能自动过滤所有被访问到的POST或者COOKIE数据，请打开你的 application/config/config.php 文件，进行如下设置即可启用自动过滤:

$config['global_xss_filtering'] = TRUE;

说明: 如果你使用表单验证类，同样也有XSS过滤的选项.

例如

$post_site_data = array(
'add_new' => trim($this->input->post("add_new")),
'site_url' => trim($this->input->post("site_url")),
'site_name' => trim($this->input->post("site_name")),
'site_type' => trim($this->input->post("site_type")),
'web_struct' => trim($this->input->post("web_struct")),
'site_struct1' => trim($this->input->post("site_struct1")),
'site_struct2' => trim($this->input->post("site_struct2")),
'site_targets' => trim($this->input->post("site_targets")),
'site_code' => trim($this->input->post("site_code"))
);

这是post的数据，可以专门写个函数，先转义html，然后过滤xss