我想知道在没有验证的情况下将图像标签存储在内部是否存在安全风险。其中一位评论者表示,由于内联javascript,它可能是一种安全威胁。另外,对于我的情况,另一种解决方案可能是删除所有图像,除了具有&#34; smilyImage&#34;类的图像。换句话说,删除所有图片:<img src="whatever.png">并保留这样的图片:<img class="smilyImage" src="smiley.png">
答案 0 :(得分:1)
只要你的SQL查询被正确转义(或者更好,你使用属性绑定),那么应该没有安全风险(你只是将文本存储在列中,有效)。
但是,如果您的查询不安全,那么您可以打开SQL注入。
我不会将图像标签存储在数据库中,而只是图像源的URL(很容易验证)。
答案 1 :(得分:1)
取决于。如果您让用户提交图片代码,他们可以例如向其添加一个JavaScript onClick-event,这可能会导致一些问题(如果您没有退出返回值)。
传递给数据库的所有数据都是您无法确切知道的可能存在安全隐患。