mysql值字段中的html标记,对吗?
我正在查看status.net源代码和mysql表,它们的mysql字段值中似乎有html标记。我只是想知道这样做是对的,还是将来会引起一些问题?我想借此机会引用我以前的it老师最喜欢的一句话: 哦,要看情况了mysql值字段中的html标记,对吗?,mysql,html,Mysql,Html,我正在查看status.net源代码和mysql表,它们的mysql字段值中似乎有html标记。我只是想知道这样做是对的,还是将来会引起一些问题?我想借此机会引用我以前的it老师最喜欢的一句话: 哦,要看情况了 如果不知道标签存储在db中的位置和原因,很难说这是否是一个好的ideo…这取决于它将在哪里使用。如果目的是在那里使用任意html,这不是一个问题。尤其是如果只有开发人员和管理员才能将其放在那里 另一方面,例如,如果您的系统的用户设法将它放在那里,并且还利用这个机会放入脚本标记和对他们自己
如果不知道标签存储在db中的位置和原因,很难说这是否是一个好的ideo…这取决于它将在哪里使用。如果目的是在那里使用任意html,这不是一个问题。尤其是如果只有开发人员和管理员才能将其放在那里 另一方面,例如,如果您的系统的用户设法将它放在那里,并且还利用这个机会放入脚本标记和对他们自己脚本的引用,那么您可能会遇到很大的麻烦(如果您在您的站点上呈现字符串之前不转义字符串)。简短回答:视情况而定 长话短说:这种做法非常普遍,而且常常不可避免 想想博客文章:其中的HTML代码标记了内容,不能与内容本身分离 可能的问题: Javascript注入。如果我可以将恶意HTML代码注入到您的数据库中,我可以创建指向恶意软件或javascript命令的链接,以帮助安装病毒或特洛伊木马
总有一个折衷办法。数据库可以像文件系统一样用于存储。因此,在大多数情况下,如果存储HTML,这不是问题
让我们以WordPress博客的文章为例。将它们存储在数据库中肯定没问题 我不知道你所说的“mysql字段值”是什么意思。你能举个例子吗?你指的是JavaScript注入,不是SQL注入。