我正在PHP中构建一个模板工具,我希望允许用户将html / css内容输入到textareas中。目前我正在运行:
Strip_Tags(仅允许基本的html和样式标签)
然后:
ヶ辆
然后:
htmlspecialchars_decode(例如,从<br>转换允许的标签)
我的表单操作使用htmlentities($_SERVER['PHP_SELF'])方法。
有关保护此工具进行在线消费还需要什么的任何建议?我需要验证,如果是,那么过滤器是什么?我是否应该删除某些恶意代码?
根据所需的输入(仅限html / css),是否有最佳做法?我(目前)不使用数据库,但如果我需要扩展,我会喜欢一个解决方案。
由于
答案 0 :(得分:1)
第一道保护应该是转义你的字符串,例如mysqli有方法real_escape_string(),它可以防止任何可以解释为SQL的代码被执行,这个方法主要用于数据库安全。
您应该确保用户无法通过转义斜杠来执行服务器上的恶意代码,方法是使用addslashes()函数。
除此之外,你应该从基本的安全角度出发。