我有一个基于javascript的富文本编辑器。
保存它生成的标签最安全的方法是什么?
我正在使用MySQL作为我的数据库。
我不确定使用mysql_real_escape_string($text);是否安全。
答案 0 :(得分:0)
我建议您使用mysqli与数据库连接,这样您就不需要转义数据并获得针对SQL注入的完整保护。您当然仍需要防止HTML注入。
您无需将文本字符串写入JavaScript文件。如果您需要通过JavaScript处理它,我建议您使用XMLHttpRequest获取数据(与名称相反,不要求您的数据采用XML格式)。
答案 1 :(得分:0)
我想不出在这里使用htmlentities的原因。 mysql_real_escape_string在这里至关重要,因为它可以防止人们将';DROP * FROM table foo;--等恶意SQL代码注入您的数据库。我会在没有htmlentities的情况下尝试使用,如果您发现需要转换为实体,那么您可以尝试使用htmlspecialchars代替只转换特殊字符。
如果您想限制表单中允许的HTML,您可能还需要查看strip_tags函数。
相关文件:
http://us2.php.net/manual/en/function.htmlentities.php
http://us2.php.net/manual/en/function.htmlspecialchars.php