我想将一个类似于下面的css表保存到xml文件的节点中。 xml文件将存储在mysql数据库中。该表将在稍后检索并显示。表中的“ws-css-table-td”部分可能包含用户输入的单词或字母。
我正在使用php和mysql。
我应采取哪些措施来确保不会引入恶意代码?
感谢。
<div class="ws-css-table" >
<div class="ws-css-table-tr">
<div class="ws-css-table-td"></div>
</div>
</div>
答案 0 :(得分:2)
这里有一些误解。
对于表格,使用HTML表格。网上有些人会阻止使用表格。这来自人们滥用页面布局的时代。没有理由不使用表格表!如果您确实想要显示经典意义上的表格,请使用标记table,tr和td。
CSS首先用于样式,它也可以用于布局。但它肯定不是用于定义数据表。
回到实际问题。
不要在MySQL中保存XML。 XML是一种数据存储格式。将原始数据存储在数据库中更清晰,更灵活,更可扩展,更易于维护......您明白了。你真的需要XML吗?如果是这样,请使用编组库来转换PHP,XML和数据库。对于XML,有DTD和XSD,这两种标准格式定义了有效XML文档的外观。这两种方法都可以让您进行快速验证和转换。
检查所有用户输入的格式,类型,特殊字符,编码和业务逻辑。首先定义用户期望插入的内容。您可以在客户端验证输入以进行即时响应,但在使用或保存之前,您仍需要在服务器上验证它们。客户端验证不会取代服务器端验证!这与任何进一步处理这些输入无关。验证是强制性的先决条件。
坚持这些基本规则,你应该在山上一半。对于进一步的潜在陷阱,我们需要知道您的确切用例。