我在我建立的一个小型PHP / MySQL论坛中使用http://ckeditor.com/。我的问题:
在数据库中保存用户创建的HTML,然后在我的应用程序中重新显示它是否安全?我应该采取什么预防措施来保护论坛用户免受脚本注入等的影响?
<p>test</p>
<span style="font-size: 14px;">test</span>
使用BBCode而不是HTML会更安全吗?我尝试了ckeditor bbcode插件,但它缺少一些基本的格式,如文本对齐...有谁知道如何扩展插件以添加文本对齐?
答案 0 :(得分:2)
关于第一个问题,您需要做两件事:
安全地将用户内容保存到数据库中,这样您就不会受到SQL注入攻击。请参阅此SO问题,了解如何最好地处理=>&gt; Best way to stop SQL Injection in PHP
阻止某人向您的数据库提交不安全的HTML,然后将其重新显示给您的用户并使他们容易受到XSS攻击。 SO上有很多问题需要解决。这是一个=&gt; XSS Prevention in PHP