HTML格式的textarea输入的安全措施,由PHP处理,其内容应为HTML(带有div p和其他标记)
我有个问题。我想到了形式安全。我有一个字段是文本区域。默认情况下,它是隐藏的,而是显示一个富文本编辑器(如果它起作用,则显示CKEditor)。我想做的是:HTML格式的textarea输入的安全措施,由PHP处理,其内容应为HTML(带有div p和其他标记),html,forms,sanitization,Html,Forms,Sanitization,我有个问题。我想到了形式安全。我有一个字段是文本区域。默认情况下,它是隐藏的,而是显示一个富文本编辑器(如果它起作用,则显示CKEditor)。我想做的是: 只允许来自YouTube的iFrame(因为可能会有人发布带有视频的教程),但我不希望来自其他可能有害的来源的iFrame 因此,我不允许使用图像(正如我所读到的,这些元素也存在安全漏洞) 我最后一个也是最大的安全问题是如何防止SQL注入,因为它是一个内容丰富的领域 家庭作业: 我考虑过创建一个var(例如,$fake\u input=$a
任何帮助都将不胜感激 为什么不简单的htmlspecialcharacter()?在将您的数据保存到数据库之前,您将不会遇到问题 我刚刚看到它(它的功能是什么)并将一些“危险”字符转换为html实体。抱歉,如果我问了一些“愚蠢”的问题,但这对SQL注入来说足够了吗?即使如此,我还应该注意哪些其他危险?为了避免sql注入,请使用预先准备好的语句。除此之外,您应该使用htmlspecialchars()或htmlentities()对任何html进行“编码”。