如何防止TinyMCE等WYSIWYG编辑器中的恶意输入?
我的用户系统不是“精通技术”(因此没有WMD),需要一个富文本编辑器将其内容发布到数据库中。
我担心脚本攻击和恶意输入代码。
答案 0 :(得分:14)
如果您只想要安全的HTML,那么您应该使用HTML Purifier。如果您想要防止XSS并阻止所有html,那么您应该使用$var=htmlspcialchars($var,ENT_QUOTES);
答案 1 :(得分:0)
您无法阻止来自客户端的输入。您可以添加一些东西以阻止(或尝试),但提交恶意代码总是微不足道的。您需要在PHP中进行清理。
在显示内容之前,始终总是要避开用户提交的内容(htmlentities将通常为您处理这些内容。
如果您希望能够提交HTML(正如您所说的所见即所得),那么您需要使用白名单清理已提交的HTML。当我说白名单时,我指的是标签名称和属性。
我对CodeIgniter并不熟悉,但我确实找到了this看起来可能会做你想要的......
答案 2 :(得分:-4)