Безопасность
Является ли upgrade.php угрозой безопасности?
Upgrade.php — это файл для запуска обновлений кода и базы данных. Он находится в корне директории и не требует входа в систему для доступа. На полностью обновлённом сайте запуск этого файла лишь сбросит кэши и завершится, поэтому это не является угрозой безопасности.
Если вы всё ещё обеспокоены, вы можете удалить, переместить или изменить права доступа к файлу до тех пор, пока не потребуется обновление.
Следует ли удалить install.php?
Этот файл используется для установки Elgg и не требует удаления. Файл проверяет, установлен ли уже Elgg, и перенаправляет пользователя на главную страницу, если это так.
Фильтрация
Фильтрация в Elgg используется для усложнения XSS-атак. Цель фильтрации — удаление JavaScript и другого опасного ввода от пользователей.
Фильтрация выполняется через функцию elgg_sanitize_input(). Эта функция принимает строку и возвращает отфильтрованную строку. Она запускает событие sanitize, input event. По умолчанию Elgg поставляется с кодом фильтрации htmLawed в виде плагина. Разработчики могут добавить любой дополнительный или заменяющий код фильтрации в виде плагина.
Функция elgg_sanitize_input() вызывается для любого пользовательского ввода, если ввод получен через вызов get_input(). Если по какой-то причине разработчик не хочет применять фильтрацию по умолчанию к некоторому пользовательскому вводу, функция get_input() имеет параметр для отключения фильтрации.