CakePHP - 安全 - 图像和链接助手

Question

我刚刚阅读了这篇关于 CakePHP 安全性的非常有趣的帖子：Cakephp Security

它说每当使用助手时，CakePHP 基本上都会注意安全风险，除非我转身逃跑。我相信只有在我希望我的链接是图像时才关闭转义，因此将图像辅助线嵌套在链接辅助线中。例如：

echo $this->Html->link($this->Html->image('logo.png'), "/" , array('id'=>'logo', 'escape' => false));

这是不好的做法吗？这会让我变得脆弱吗？我应该用其他方式吗？

另外，每当我在动态页面上输出数据库数据时，是否需要将其包含在 htmlspecialchars($myvariable) 中？如果我知道我的数据库没有“坏东西”并且我所有用于输入数据库的表单都使用 FormHelper，我不明白为什么我需要这样做。

Answer 1

在显示的示例代码中，您拥有所有静态值，没有来自用户的内容，因此没有风险。

对于来自数据库的内容也类似，例如。所有内容都由站点管理员管理，用户的任何内容都不会保存到数据库中，这样可以安全地回显内容而不转义。