我正在研究管理来自用户编辑的textarea的数据的解决方案。 我将不得不让用户添加一些基本的HTML标签(链接,粗体,列表和其他东西)。 我最担心的是安全问题。 数据将保存在mySql数据库中。
任何建议都是为了避免尽可能多的安全问题? 在数据库中保存此类文本的最佳方法是什么?
谢谢
答案 0 :(得分:0)
解决此问题的最佳方法是制作允许标记的白名单。通过JavaScript,您可以警告用户他们输入了无效数据,但为了保护您在服务器端的数据,您需要将其从内容中删除。例如,应谨慎处理脚本标记。如果您希望用户输入这些用户以及其他用户能够查看它们,则需要进行一些更复杂的处理。
一个简洁的解决方案是转义所有列出白名单的标签,并将其他标签编码为字符,以便<script>标签变为<script>。这样,如果你在你的html中输出它,它将不会被视为有效的标签,而是作为彼此相继放置的字符。
如果您需要针对您自己语言的更具体的解决方案,请提供更多详细信息,但这足以作为全球概念。