我在expressionengine中使用safecracker向前端用户显示表单。用户可以在其中一个字段中输入html内容。如何在将此信息发送到数据库之前对其进行清理,以防止sql注入和恶意代码运行。
答案 0 :(得分:2)
不需要任何操作来阻止SQL注入。通过SafeCracker的所有输入都通过Channel Entries API运行,它会清理所有输入。
要防止脚本标记之类的内容,您可以在“频道发布首选项”中明确允许“允许输入的频道”中的“安全”HTML。 (管理→频道管理→频道→编辑首选项)。