jpc*_*jpc 5 php mysql xss ckeditor
我在建立的一个小型PHP / MySQL论坛中使用http://ckeditor.com/。我的问题:
这样安全地将用户创建的HTML保存在数据库中,然后在应用程序中重新显示它是否安全?我应该采取什么预防措施来保护论坛用户免受脚本注入等危害?
<p>test</p>
<span style="font-size: 14px;">test</span>
使用BBCode代替HTML会更安全吗?我尝试了ckeditor bbcode插件,但是它缺少一些基本格式,例如文本对齐方式。有人知道如何扩展该插件以向其中添加文本对齐方式吗?
对于你的第一个问题,你需要做两件主要的事情:
将用户内容安全地保存到数据库中,这样您就不会受到 SQL 注入攻击。请参阅此问题,了解如何最好地处理该问题 => Best way to stop SQL Injection in PHP。
防止某人向您的数据库提交不安全的 HTML,然后这些 HTML 会重新显示给您的用户,使他们容易受到 XSS 攻击。这里有很多与此相关的问题。这是一个 => PHP 中的 XSS 预防。
| 归档时间: |
|
| 查看次数: |
3899 次 |
| 最近记录: |