我正在构建一个小型博客系统,以实现我们的客户网站。我已经构建了一个简单的所见即所得文本编辑器,一切正常(几乎......),但我将博客文章存储到数据库中。问题是,我不希望恶意脚本进入那里。此外,如果我转义字符串,HTML标记将无法格式化输出中的文本(除非我不知道某些内容)。
但是,只有拥有帐户的人才能在其网站上创建博客文章(小企业主)。因此,如果需要密码来访问文本编辑器,我是否需要保护它?我需要HTML Purifier或其他东西吗?我只是走错了路吗?
答案 0 :(得分:1)
答案是:是
通过不这样做,您实际上是在激励用户帐户被黑客入侵并将其置于风险之中。如果一个黑客可以访问其中一个帐户,那么他可以利用它来危害所有用户,这对你来说有很多不同的坏消息。
安全不应该是一项可选功能。
编辑:答案实际上应该说“不”,因为顶部的问题与说明中的问题不同..所以,不,不安全地将未受保护的表格放在受密码保护的页面内。