我配置了PHP,以便启用魔术引号并关闭注册全局变量.
我会尽力为我输出的任何来自用户输入的内容调用htmlentities().
我偶尔也会搜索我的数据库,以获取xss附带的常用内容,例如......
<script
我还应该做些什么,以及如何确保我要做的事情总是完成.
我在建立的一个小型PHP / MySQL论坛中使用http://ckeditor.com/。我的问题:
这样安全地将用户创建的HTML保存在数据库中,然后在应用程序中重新显示它是否安全?我应该采取什么预防措施来保护论坛用户免受脚本注入等危害?
<p>test</p>
<span style="font-size: 14px;">test</span>
使用BBCode代替HTML会更安全吗?我尝试了ckeditor bbcode插件,但是它缺少一些基本格式,例如文本对齐方式。有人知道如何扩展该插件以向其中添加文本对齐方式吗?