kindeditor编辑器内容插入数据库安全问题
RT,现在使用kindeditor做来编辑发送消息的内容,应该如何注意安全问题?比如通过引号这些导致对数据库的不安全,还有就是显示的时候如何确保
<script type="text/javascript">如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
RT,现在使用kindeditor做来编辑发送消息的内容,应该如何注意安全问题?比如通过引号这些导致对数据库的不安全,还有就是显示的时候如何确保
<script type="text/javascript">由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(11)
我也有这个问题
我也有这个问题····
除了jsp,其他模板都有对应的函数解决html编码问题,否则只能后台转码传到前台,原理和oschina里的common.js一样(换成java版就行了):
function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, "&"); s = s.replace(/</g, "<"); s = s.replace(/>/g, ">"); //s = s.replace(/ /g, " "); s = s.replace(/'/g, "'"); s = s.replace(/"/g, """); //s = s.replace(/n/g, "<br>"); return s; } function html_decode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, "&"); s = s.replace(/</g, "<"); s = s.replace(/>/g, ">"); s = s.replace(/ /g, " "); s = s.replace(/'/g, "'"); s = s.replace(/"/g, """); s = s.replace(/<br>/g, "n"); return s; }没有使用Freemarker呢,咋解决?
如果是Freemarker的话可以用?html函数过滤内容,会自动把html中的特殊字符转为转义字符
如果是PHP的话可以用htmlspecialchars()函数过滤内容,会自动把html中的特殊字符转为转义字符
白名单过滤,补齐HTML标签
把小于号替换为<
把大于号替换为>
间接的鄙视了
@红薯
<script type="text/javascript">