Expressionengine通过SAEF表单将html发送到数据库 - 安全措施

时间:2011-06-16 20:25:05

标签: php sql-injection expressionengine

我在expressionengine中使用safecracker向前端用户显示表单。用户可以在其中一个字段中输入html内容。如何在将此信息发送到数据库之前对其进行清理,以防止sql注入和恶意代码运行。

1 个答案:

答案 0 :(得分:2)

不需要任何操作来阻止SQL注入。通过SafeCracker的所有输入都通过Channel Entries API运行,它会清理所有输入。

要防止脚本标记之类的内容,您可以在“频道发布首选项”中明确允许“允许输入的频道”中的“安全”HTML。 (管理→频道管理→频道→编辑首选项)。