我将 html 数据存储在数据库中。
html数据非常简单,由所见即所得的编辑器生成。
在我将 html 数据存储在数据库中之前,我通过 HTMLPurifier 运行它,以去除任何不良信息。
当我将数据输出回浏览器时,因为它是 html 数据,显然我不能使用 php 的 htmlspecialchars()。
我想知道就 XSS 攻击而言,这是否存在任何问题。在将数据保存到数据库之前通过 HTMLPurifier 传递数据是否足够?有什么我遗漏的/我应该采取的其他步骤吗?
(提前)感谢您的帮助。
最佳答案
你所做的是正确的。您也可以考虑在途中进行过滤以确保万无一失。您提到您正在使用 HTMLPurifier - 这很棒。永远不要尝试自己实现 sanitizer ,这种方法存在很多缺陷。
关于php - 将 html 数据从数据库输出到浏览器时的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5086038/