阻止指定的HTML元素
阻止指定的HTML元素
提问于 2018-03-09 19:25:50
我想要实现一个小票价系统。
在前端,我想使用所见即所得编辑器tinyMCE的功能,如强和表等。我想防止其他元素进入我的数据库,如脚本输入等。你知道一个PHP库,我可以排除所有其他元素或只允许tinyMCE创建的元素?
在后端,我想使用原则-所以SQL注入应该通过这一点来避免,还是我错了?
回答 1
Stack Overflow用户
发布于 2018-03-09 19:32:41
您可能希望使用不同的WYSIWYG策略。在HTML中写入DOM用户输入有很高的XSS注入风险。
我推荐使用WYSIWYG Markdown编辑器(如SimpleMDE),并在数据库中以Markdown格式存储用户输入。然后,您可以使用PHP库(如Parsedown)来解析Markdown内容并编写等效的HTML内容。Markdown的选项要少得多(几乎只有文本格式),这降低了XSS攻击的可能性。
此外,您可能应该对用户内容实现一些服务器端检查,因为您永远不能确保您的用户使用您的WYSIWYG编辑器来提交票据。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/49192715
复制相关文章
相似问题
腾讯云开发者
