保存Rich Text(WYSIWYG输出)的最佳方法是什么?

时间:2012-04-11 14:50:43

标签: php javascript html

我有一个基于javascript的富文本编辑器。

保存它生成的标签最安全的方法是什么?

我正在使用MySQL作为我的数据库。

我不确定使用mysql_real_escape_string($text);是否安全。

2 个答案:

答案 0 :(得分:0)

我建议您使用mysqli与数据库连接,这样您就不需要转义数据并获得针对SQL注入的完整保护。您当然仍需要防止HTML注入。

您无需将文本字符串写入JavaScript文件。如果您需要通过JavaScript处理它,我建议您使用XMLHttpRequest获取数据(与名称相反,不要求您的数据采用XML格式)。

答案 1 :(得分:0)

我想不出在这里使用htmlentities的原因。 mysql_real_escape_string在这里至关重要,因为它可以防止人们将';DROP * FROM table foo;--等恶意SQL代码注入您的数据库。我会在没有htmlentities的情况下尝试使用,如果您发现需要转换为实体,那么您可以尝试使用htmlspecialchars代替只转换特殊字符。

如果您想限制表单中允许的HTML,您可能还需要查看strip_tags函数。

相关文件:
http://us2.php.net/manual/en/function.htmlentities.php
http://us2.php.net/manual/en/function.htmlspecialchars.php

祝你好运