检查用户的会话项是否为xss clean有意义吗?
类似这样的东西:
$item = $this->security->xss_clean($this->session->item);
会话是否可能包含任何有害代码?
简短回答:是。
如果$this->session->item由恶意用户填充(例如某些input textbox或伪造的$_POST数据),则它容易受到有害代码的攻击。
例如,即使这个session变量真的存储在会话中,它也可以插入数据库中。