Php CKEditor安全最佳实践
我正在使用我构建的一个小型PHP/MySQL论坛。我的问题是:Php CKEditor安全最佳实践,php,mysql,ckeditor,xss,Php,Mysql,Ckeditor,Xss,我正在使用我构建的一个小型PHP/MySQL论坛。我的问题是: 将用户创建的HTML像这样保存在数据库中,然后在我的应用程序中重新显示,这样安全吗?我应该采取什么预防措施来保护我论坛的用户免受脚本注入之类的攻击 <p>test</p> <span style="font-size: 14px;">test</span> 测试 测试 使用BBCode而不是HTML会更安全吗?我尝试了ckeditor bbcode插件,但它缺少一些基本格式,如文本
<p>test</p>
<span style="font-size: 14px;">test</span>
测试
测试
对于第一个问题,您需要做两件主要的事情:
您使用的服务器端技术是什么?假设ckeditor是脚本安全的,那么ckeditor文档已经充分涵盖了您的问题。下一次,请花更多的精力来写你的问题。我不是说ckeditor不安全,而是说在数据库中保存简单的html不是好是坏?谢谢你的回答,我的shift键没有问题,也不是从手机发帖,但你为什么要问这个问题?即使ckeditor是安全的,将普通HTMLin保存到数据库将不是一个选项:您永远不能信任来自客户端的数据。服务器必须始终验证它。绕过客户端验证是很容易的。但是你认为在数据库中保存html而不是bbcode是好是坏?如果你有一个很好的清理方法,我认为html是可以的。BBCode可能更安全一些。。。但是我不知道如何让CKEditor BBCode插件按照你的要求对齐文本。谢谢你,终于有人明白我的问题了。但是,当我想将搜索查询发送到我在其中保存纯html的表时,这并不坏。