哪里有一些关于如何正确数据绑定 TinyMCE 或 FCKEditor 以存储在 SQL 数据库中的好文档?

发布于 2024-07-29 22:20:21 字数 101 浏览 5 评论 0原文

我到处搜索,只能找到一些关于如何正确地将数据从富文本编辑器保存到 SQL Server 数据库的非常糟糕的文档。 我不处理个人资料,我只是想了解如何正确完成它,包括如何正确转义所述数据。

I have searched high and low and can only find some very bad documentation on how to properly save the data from a rich text editor to a SQL Server database. I am not working with personal profiles, I just want to understand how it is properly done, including how to properly escape said data.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

剩余の解释 2024-08-05 22:20:21

使用参数化查询,您不需要对进出数据库的数据进行转义或编码。

您应该更关心的是从数据库中渲染出来时您收到的 HTML 的组成。 仅仅相信提交 HTML 的人没有恶意是不够的。

HTML 是否包含脚本? HTML是否包含XSS攻击? HTML 中嵌入的任何格式或 CSS 是否会破坏您的页面? HTML 中未封闭的标记是否会破坏您的页面?

Use parameterized queries and you don't need to escape or encode the data going into or coming out of the DB.

What you should be more concerned about is the composition of the HTML that you're receiving when it's be rendered back out from the database. It's not really enough to trust the person submitting the HTML to not be malicious.

Does the HTML contain script? Does the HTML contain XSS attacks? Does any formatting or CSS embedded in the HTML break your page? Does unclosed markup in the HTML break your page?

℉絮湮 2024-08-05 22:20:21

一种简单的方法是在保存时对 TinyMCE 控件的内容进行 HtmlEncode,并在检索时对其进行解码。

One simple way would be to HtmlEncode the content of the TinyMCE control when saving and Decode it when retrieving.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文