我在写博客时使用的是Tinymce,但是在使用PHP的htmlspecialchars时似乎存在问题。我的所有
标签等都出现了,我想要P标签的样式。有什么办法可以解决这个问题吗?如果我远程htmlspecialchars该网站将为XSS等打开,导致javascript。
任何人都有类似的问题吗?并知道如何解决这个问题?也许删除一些TinyMCE valdiation东西?
答案 0 :(得分:2)
我也使用TiniMCE。我只使用以下代码,这对我有用。
$allowedTags='<p><strong><em><u><h1><h2><h3><h4><h5><h6><img>';
$allowedTags.='<li><ol><ul><span><div><br><ins><del>';
$new_msg = strip_tags(stripslashes($_POST['msg']), $allowedTags);// Posted data from tiniMCE text area
尝试以上操作。这是从XSS或其他攻击中保存的
答案 1 :(得分:1)
如果您允许用户使用TinyMCE,则必须删除所有样式的HTML标记和脚本。然后直接保存到数据库,不需要使用htmlspecialchars。
如果只有你可以发布,那么你不需要消毒任何东西。