标签: php validation sanitization
我今天阅读了许多关于处理用户输入的优秀问题和答案。我现在使用htmlspecialchars()在创建/编辑表单中显示用户数据(但是通过准备好的PDO语句接受原始输入到我的数据库中)。
我知道的主要问题是,当您允许用户提交HTML然后将向公众显示时,您会怎么做。显然htmlspecialchars()不再合适,因为它只对代码进行编码并使内容无用。
我的应用程序目前正在接受管理员提供的HTML产品说明。这将允许恶意管理员将可能不安全的数据注入面向公众的页面。
人们如何应对这种情况?
答案 0 :(得分:5)
HTML Purifier