Yii框架数据传输的安全性问题（例如跨站脚本攻击）

我们知道可以通过renderPartial将数据传递给前端进行显示，但有时候难免传递的数据是获取用户的数据，要知道作为程序员是永远都不要相信用户输入的。
比如下面的代码就会出现问题

public function actionSay(){

        //第一步，创建一个数组
        $arr = array();
        //第二步，将数据放入数组中
        $arr['text'] = "Hello world!";
        //第三步，传递数据
        return $this->renderPartial('say',$arr);
    }

<h1>=$text?>h1>

访问时会将其中的script代码执行

对于这种问题，有两种办法解决

use yii\helpers\Html;
use yii\helpers\HtmlPurifier;
?>
<h1>=HTML::encode($text)?>h1>
<h1>=HtmlPurifier::process($text) ?>h1>

第一种就是使用HTML::encode进行编码
第二种则是使用HtmlPurifier::process对代码进行过滤
两种方法的区别也很明显，如下如