我正在使用CKEditor让用户发表评论。我在论坛中没有使用bbcode。如果我隐藏CKEditor的源按钮并执行以下步骤
我是否安全地处理了用户提交的数据?我还需要使用bbcode吗?我应该采取什么步骤来使我的应用程序更安全。
答案 0 :(得分:2)
您无法通过隐藏该按钮来保护您的代码。事实上,你在客户端做的任何事情都无济于事。
我强烈建议您在将用户添加到数据库之前检查用户发布的内容。 上次我不得不处理这样的事情,我使用了PHPIDS和HTML Purifier的组合,但很久以前我不知道它们现在是不是最好的工具。