Adiantadamente, peço desculpas se cometi algum equívoco. Eu não lembro onde, mas li em algum lugar que o Shadowhand disse que tirou o xss_clean simplesmente porque existe um projeto muito melhor, mais completo e open source. Então, é melhor simplesmente incorporar essa outra solução no seu projeto do Kohana do que reescrever código.
Ainda assim, Gabriel, eu não acho que através do Request seja feita qualquer filtragem de XSS. Você poderia mostrar um exemplo? Quando o Tarsis falou globais, eu imagino que quis dizer as superglobais, $_GET e $_POST, principalmente. Até porque o método Security::xss_clean() * tinha* como objetivo limpar a entrada do usuário de coisas indesejadas no output. Essa limpeza de html, na minha opinião, não necessariamente é somente pra formulários WYSIWYG ou requisição externa de HTML, mas principalmente pra previnir que um espertalhão coloque alguma bobagem onde não deve. Na maioria dos casos, usar o Purifier não é necessário e sanitizações/validações personalizadas são o suficiente. Mas em algumas situações, como num box de comentários, pode não ser tão simples. Então, nesse caso, o Purifier é mais indicado, suportando até whitelist, o que é interessante. Nunca usei o Purifier em produção, mas não duvido que uma coisa tão completa seja também onerosa em desempenho. Entretanto, é melhor perder um pouco de desempenho do que deixar alguma parte vulnerável. Isso, é claro, se não der pra resolver de uma forma mais simples, como parece ser a maioria dos casos. Se ele quer XSS, deve usar o Purifier. Se é necessário ou não, já me parece uma outra questão. Em 27 de junho de 2011 20:37, Gabriel Reitz Giannattasio < [email protected]> escreveu: > Ela tava falando de variaveis globais, se for pra requisição externa de > HTML ou uso de formularios que aceitem WYIWYG, dai o Purifier é show mesmo, > senão ele só vai fazer parser a toa e onerar o desempenho da aplicação. > > > Abraço, > Gabriel R. Giannattasio > [email protected] > Tel: (48) 8415 3555 > > > 2011/6/27 Anderson Marques Ferraz <[email protected]> > >> Ou eu não entendi, ou eu não ache que funcione, Gabriel. Creio que a forma >> mais correta seja utilizando o HTMLPurifier mesmo. >> >> Em 27 de junho de 2011 19:31, Gabriel Reitz Giannattasio < >> [email protected]> escreveu: >> >> Use o REQUEST para filtrar. >>> >>> PARAM -> rota >>> QUERY -> querystring >>> POST -> post >>> >>> http://kohanaframework.org/3.1/guide/api/Request#query >>> >>> Abraço, >>> Gabriel R. Giannattasio >>> [email protected] >>> Tel: (48) 8415 3555 >>> >>> >>> >>> 2011/6/27 Anderson Marques Ferraz <[email protected]> >>> >>>> >>>> http://forum.kohanaframework.org/discussion/7879/securityxss_clean-deprecated-since-v3.0.5-what-to-use-insteads/p1 >>>> >>>> *Remember that you only need to worry about XSS if you are accepting >>>> HTML input and using it as output.* >>>> >>>> http://htmlpurifier.org/ >>>> >>>> https://github.com/shadowhand/purifier >>>> >>>> Em 27 de junho de 2011 13:58, tarsis lima <[email protected]>escreveu: >>>> >>>> Boa tarde pessoal, >>>>> >>>>> Como voces fazem para filtrar suas variaveis globais no Kohana? >>>>> Ao que parece o security::xss_clean() foi retirado da versão 3.1. >>>>> >>>>> >>>>> >>>>> -- >>>>> Társis Lima - Programação Php & MySql >>>>> >>>>> -- >>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>> Php" dos Grupos do Google. >>>>> Para postar neste grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para obter mais opções, visite esse grupo em >>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>> >>>> >>>> >>>> >>>> -- >>>> Anderson Marques Ferraz >>>> UEFS - Engenharia de Computação - 2006.1 >>>> Linux user #500881 - http://counter.li.org/ >>>> >>>> Money demands that you sell, not your weakness to men's stupidity, but >>>> your talent for their reason. >>>> (Francisco d'Anconia) >>>> >>>> -- >>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>> Php" dos Grupos do Google. >>>> Para postar neste grupo, envie um e-mail para >>>> [email protected]. >>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>> [email protected]. >>>> Para obter mais opções, visite esse grupo em >>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>> >>> >>> -- >>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>> Php" dos Grupos do Google. >>> Para postar neste grupo, envie um e-mail para >>> [email protected]. >>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>> [email protected]. >>> Para obter mais opções, visite esse grupo em >>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>> >> >> >> >> -- >> Anderson Marques Ferraz >> UEFS - Engenharia de Computação - 2006.1 >> Linux user #500881 - http://counter.li.org/ >> >> Money demands that you sell, not your weakness to men's stupidity, but >> your talent for their reason. >> (Francisco d'Anconia) >> >> -- >> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >> Php" dos Grupos do Google. >> Para postar neste grupo, envie um e-mail para [email protected] >> . >> Para cancelar a inscrição nesse grupo, envie um e-mail para >> [email protected]. >> Para obter mais opções, visite esse grupo em >> http://groups.google.com/group/kohana-php?hl=pt-BR. >> > > -- > Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" > dos Grupos do Google. > Para postar neste grupo, envie um e-mail para [email protected]. > Para cancelar a inscrição nesse grupo, envie um e-mail para > [email protected]. > Para obter mais opções, visite esse grupo em > http://groups.google.com/group/kohana-php?hl=pt-BR. > -- Anderson Marques Ferraz UEFS - Engenharia de Computação - 2006.1 Linux user #500881 - http://counter.li.org/ Money demands that you sell, not your weakness to men's stupidity, but your talent for their reason. (Francisco d'Anconia) -- Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" dos Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected]. Para cancelar a inscrição nesse grupo, envie um e-mail para [email protected]. Para obter mais opções, visite esse grupo em http://groups.google.com/group/kohana-php?hl=pt-BR.
