回复内容过滤 XSS 后内容为空时,使用更加友好的处理方式
6

为了对回复内容进行 XSS 过滤,教程中是通过在模型监控器 ReplyObserver 中监控 created 事件来实现,但是这就会造成一个问题:当过滤后的内容为空时,依旧将空内容的回复插入到数据库中,其实这是有问题的。
file

我的想法是在控制器里进行 XSS 过滤,并对过滤结果进行判断,代码如下:

public function store(ReplyRequest $request, Reply $reply)
{
        // XSS 过滤
        $content = clean($request->get('content'));
        if (empty($content)) {
            return redirect()->back()->with('error', '回复内容错误!');
        }

        $reply->content = $content;
        $reply->user_id = Auth::id();
        $reply->topic_id = $request->get('topic_id');
        $reply->save();

        return redirect($reply->topic->link())->with('success', '创建成功!');
}
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
讨论数量: 3

哥,别人攻击你,你还给他一个友好的提示?

5个月前

@Elinger 友好的提示不重要 重要的是 别人可以往你的回复里发布空内容了

1个月前

这个想法很有意义,可以防止往数据库中插入内容为空的回复。

4周前

  • 请注意单词拼写,以及中英文排版,参考此页
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`, 更多语法请见这里 Markdown 语法
  • 支持表情,使用方法请见 Emoji 自动补全来咯,可用的 Emoji 请见 :metal: :point_right: Emoji 列表 :star: :sparkles:
  • 上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jpg, png, gif
  • 发布框支持本地存储功能,会在内容变更时保存,「提交」按钮点击时清空
  请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!