我在我建立的一个小型PHP/MySQL论坛中使用http://ckeditor.com/。我的问题:

  • 将这样用户创建的HTML保存在数据库中,然后在应用程序中重新显示是否安全?我应该采取哪些预防措施来保护论坛用户免受脚本注入(inject)等危害?
    <p>test</p>
    <span style="font-size: 14px;">test</span>
    
  • 使用BBCode代替HTML会更安全吗?我尝试了ckeditor bbcode插件,但是它缺少一些基本格式,例如文本对齐方式。有人知道如何扩展该插件以向其中添加文本对齐方式吗?
  • 最佳答案

    对于第一个问题,您需要做两件事:

  • 将用户内容安全地保存到数据库中,这样您就不会受到SQL注入(inject)攻击的攻击。有关如何最好地处理=> Best way to stop SQL Injection in PHP的信息,请参见此SO问题。
  • 防止某人向您的数据库提交不安全的HTML,然后将其重新显示给您的用户,并使他们容易受到XSS攻击。关于SO的问题有很多。这是一个=> XSS Prevention in PHP
  • 关于php - CKEditor安全最佳实践,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/7225210/

    10-12 00:42
    查看更多