富文本和参数化查询,我应该担心吗?
对于这个特定的项目,我将使用 PHP 5.3 & 带有参数化查询的 MySQL 和 CKE 编辑器。
关于我的情况的一些背景:
网站上的用户不会相互交互。
所有用户仅与我进行私人对话(机密信息),其中包含富文本。
我限制了 CKE 编辑器,将用户限制为基本的 html、粗体、图像和其他格式。
现在,有两件事:
1.)我还需要某种形式的验证吗?如果用户尝试以富文本形式输入 html 或 php 或任何其他代码,是否会对我的网站产生任何影响?或者一旦从数据库中回显,它只会以简单文本的形式输出?
2.)还有什么我应该担心的吗?
我还没有开始这个项目,所以我要求在我到达用户输入部分时做好准备。
针对我的情况,您建议我做什么?
For this particular project I will be using PHP 5.3 & MySQL with parameterized queries and CKE Editor.
A little background on what my situation is:
The users on the site don't interact with each other.
All the users have private conversations with me only (confidential information), which contain richtext.
I've limited the CKE editor to limit the user to basic html, bold, images and miscellaneous formatting.
Now, two things:
1.)Do I still need some form of validation? If a user tries to input html or php or any other code in the rich text form, could it have any possible effect on my site? Or will it just be outputted as simple text once it's echo'd from the database?
2.)Is there anything else I should be worried about?
I haven't started on the project yet so I'm asking this to be prepared when I get to the user input part.
What do you recommend I do in my situation?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
当然你应该这样做,有很多方法可以使用 unicde、十六进制和更多格式来绕过这些方法。
您应该担心跨站脚本 (XSS)。您需要在以下位置使用
htmlentities函数最低限度。可能的解决方案:
您可以使用HTML Purifier:
有用资源:
Definitely you should, there are a number of ways to bypass those ways using unicde, hex and more formats.
You should be worried about Cross-Site Scripting (XSS). You need to use
htmlentitiesfunction at the minimum.Possible Solution:
You can use HTML Purifier:
Useful Resources: