我们知道可以通过renderPartial将数据传递给前端进行显示,但有时候难免传递的数据是获取用户的数据,要知道作为程序员是永远都不要相信用户输入的。
比如下面的代码就会出现问题
public function actionSay(){
//第一步,创建一个数组
$arr = array();
//第二步,将数据放入数组中
$arr['text'] = "Hello world!<script>alert(3);</script>";
//第三步,传递数据
return $this->renderPartial('say',$arr);
}
<h1><?=$text?></h1>
访问时会将其中的script代码执行
对于这种问题,有两种办法解决
<?php
use yii\helpers\Html;
use yii\helpers\HtmlPurifier;
?>
<h1><?=HTML::encode($text)?></h1>
<h1><?=HtmlPurifier::process($text) ?></h1>
第一种就是使用HTML::encode进行编码
第二种则是使用HtmlPurifier::process对代码进行过滤
两种方法的区别也很明显,如下如