我有一个基于 javascript 的富文本编辑器。
保存它生成的标签最安全的方法是什么?
我使用 MySQL 作为我的数据库。
我不确定使用mysql_real_escape_string($text);是否安全。
问问题
372 次
2 回答
0
我建议您使用mysqli与数据库接口,这样您就不需要转义数据并获得针对 SQL 注入的完整保护。当然,您可能仍然需要防范 HTML 注入。
您不需要将文本字符串写入 JavaScript 文件。如果您需要由 JavaScript 处理它,我建议您使用 XMLHttpRequest 获取数据(这与名称所暗示的相反,不需要您的数据采用 XML 格式)。
于 2012-04-11T16:10:34.677 回答
0
我想不出在htmlentities这里使用的理由。 mysql_real_escape_string在这里至关重要,因为它可以防止人们将恶意 SQL 代码注入';DROP * FROM table foo;--到您的数据库中。我会尝试不使用htmlentities,如果您发现需要转换为实体,那么您可以尝试htmlspecialchars仅转换特殊字符。
如果您想限制表单中允许的 HTML,您可能还需要查看该strip_tags函数。
相关文档: http:
//us2.php.net/manual/en/function.htmlentities.php
http://us2.php.net/manual/en/function.htmlspecialchars.php
祝你好运
于 2012-04-19T20:24:17.910 回答