我正在開發一個允許公衆(所有人)通過TinyMCE爲他們自己的項目頁面插入HTML的項目。由於每個人都可以使用此功能,因此我需要100%安全的方式將TinyMCE輸出插入到我的數據庫中,並將其顯示在另一頁上,就像用戶插入的一樣。在MySQL中存儲html的100%安全方式
XSS,SQL注入和所有其他廢話不是我想要在我的新網站!我可以做htmlentities - > htmlspecialchars和稍後使用htmlentities_decode,但這是100%安全的,這是做到這一點的最佳方式?
允許用戶編寫原始HTML然後顯示給其他用戶實際上是乞求利用。避免SQL注入是微不足道的;只使用準備好的語句。在這種情況下避免XSS是棘手的(不可能?)。 – 2012-07-21 11:30:23
http://htmlpurifier.org/ - HTMLPurifier – Gntem 2012-07-21 11:31:07
我同意@OliCharlesworth,在你的情況下幾乎不可能阻止XSS。 – Adi 2012-07-21 11:33:23