使用 Markdown 和 Markdown 时的正确操作顺序MySQL？

Question

我希望我的用户能够用 Markdown 编写一篇文章，将其存储在 MySQL 数据库中（可以选择将来进行编辑），并向其他用户显示。

在实践中，这是我对其工作原理的理解：

输入

2. 使用 Markdown 语法通过 HTML 表单
3. 用户输入$queryInput = mysql_real_escape_string($userInput);
4. 将清理后的字符串插入数据库

OUTPUT

1. 数据库中的查询字段
2. $output = Markdown($queryResult);
3. 显示 $output

是吗？

PHP Markdown 是否不需要 htmlspecialchars 或 Pure HTML ？

谢谢！

Answer 1

几周前我评估了 PHP 中 Markdown 的使用（顺便说一句，我决定不使用它）。我的想法：

• 每次渲染输出时运行 markdown 解析器可能不是一个好主意 - 解析评论非常昂贵，并且通常的博客评论（作为示例）的阅读次数远多于写入次数。您应该在将用户输入保存到数据库之前运行 markdown 解析器！

• 现在真正棘手的问题是：Markdown 本身不进行任何安全检查。所有xss攻击都顺利通过。如果您现在认为“没问题，我会在获取用户输入后立即 strip_tags”，请再想一想：markdown 在处理用户输入时很可能会创建包含 XSS 的标签。因此，您必须检查 Markdown 创建的 HTML 代码是否存在安全问题 - 这是一项非常艰巨的任务，而且很容易出错。 （这就是我没有使用它的原因 - 其好处与潜在成本没有很好的比例）