我想知道如何允许用户像在 MySpace 上一样安全地使用 PHP 和 MySQL 输入 HTML 和 CSS 到那里的配置文件。
最佳答案
您当然希望仔细清理数据并将其限制为一组“无害”的语句。例如。 http://htmlpurifier.org/可以帮助您。
HTML Purifier is a standards-compliant HTML filter library written in PHP. HTML Purifier will not only remove all malicious code (better known as XSS) with a thoroughly audited, secure yet permissive whitelist, it will also make sure your documents are standards compliant
将数据放入数据库时使用prepared statements或小心地转义数据。
关于PHP & MySQL 问题用户提交的数据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2532899/