2.时间插件、XSS过滤、在线编辑器使用.docVIP

完善一、：使用时间插件完成添加时间的搜索功能 把时间插件的包放到Public目录下 在lst.html页面中导入JS和CSS文件 添加时间的搜索框： 在最后添加JS代码 修改商品模型中的search方法添加代码 完成！ 完善二、商品描述使用在线编辑器 先复制包到项目中的public目录下： 修改add.html导入JS文件： 添加一个textarea文本域 最后添加JS 现在编辑器添加完成，但是出现一个问题：无法显示正常的效果： 这是为什么呢？ 原因：在提交表单时在create接收表单时使用了I函数进行过滤结果就这样了。默认I函数会使用htmlspecialchars函数进行过滤。 扩展：I函数默认使用htmlspecialchars函数过滤，是否能修改？ 答：在配置文件中可以改： 在TP中有一个默认的配置文件： 如果要修改只需在我们自己的配置文件中再配置一下即可：如： 这样设置就是说I函数不过滤。 现在的问题是如果不过滤就会被XSS攻击如果过滤在线编辑器就不好使了，解决的办法应该是有选择性的过滤，我们可以一个开源的过滤的包：htmlpurifier包。 用法： 下载包并把library目录复制到项目根目录下并改名： 创建一个函数 修改配置文件让I函数使用这个函数来过滤： 现在网站中I函数过滤时使用的就是我们写的这个函数：有选择性的过滤只过滤危险代码。 现在网站就很安全了！ 总结：网站危险的地方： 1. SQL注入：TP在底层拼SQL时已经过滤SQL注入了。 2. XSS：我们自己使用了HTMLPURIFIER来过滤了。 扩展：XSS（跨站脚本攻击）两种形式：输入JS代码或者HTML代码导致页面乱。