我有一个独特的情况,我知道存在安全问题,但不确定如何保护它。
我允许用户在数据库中存储'notes'。然后,用户可以在站点上查看这些注释。笔记可以是任何东西,如果有任何可能的话,我想保持这种方式。
我不担心sql注入因为数据进入数据库,因为我正在使用pdo和绑定,但是,当涉及向用户显示不同故事的数据时。
在我的脑海中,以下面的例子为例:
<b>this is in bold</b>
<?php something something ?>
etc...
我希望能够完全按原样显示这些内容,而无需读取任何html标记。当我显示第一个例子时,它可见地显示为粗体而不是“实际”文本。当然,php,javascript和任何东西都会带来风险。
我知道我可以将显示内容包裹在<pre>中,但有人可以添加自己的</pre>然后继续做他们想做的事情,如果黑客/注入是他们的意图。
这里有什么解决方案可以毫无后顾之忧地显示这些数据,就像打字一样,还是我被迫剥离标签/代码?我真的不想这样做,因为数据不再处于原始状态。
非常感谢建议,想法等。
编辑:
如上所述,我希望完全按照最初输入的方式显示数据。