在接受稍后将显示的用户生成的文本时,需要考虑两个方面.
首先,您需要保护您的数据库免受注入攻击.有一个简单的PHP函数:mysql_real_escape_string()通常足以保护您的数据库在传入此字符串时作为字段值存储.
从那里开始,你必须要小心你的显示,因为允许上传HTML代码的用户可以在显示代码时向其他用户做些讨厌的事情.如果你正在做明文文章,你可以简单地htmlspecialchars()生成的文本.(您也可能希望将换行符转换为
标记.)如果您使用的是格式化解决方案,例如此站点上使用的Markdown引擎,那些解决方案通常会提供HTML清理作为引擎的功能,但请确保阅读文档并确保.
哦,请确保您还要验证用于提交文章的GET/POST变量.毫无疑问,执行的验证需要根据您的网站的逻辑进行调整.