0

我正在用 PHP 构建一个模板工具,我希望允许用户将 html/css 内容输入到表单 textareas 中。目前我正在运行:

Strip_Tags(只允许基本的 html 和样式标签)
然后:
htmlentities
然后:
htmlspecialchars_decode(<br>例如从允许的标签转换回来)

我的表单操作使用该htmlentities($_SERVER['PHP_SELF'])方法。

关于保护此工具以进行在线消费还需要什么建议?我是否需要验证,如果需要,用什么过滤器?是否有某些恶意代码我也应该删除?

根据所需的输入(仅限 html/css),是否有最佳实践?我(目前)不使用数据库,但如果我需要扩大规模,我会喜欢一个伞式解决方案。

谢谢

4

1 回答 1

1

第一道保护线应该是转义你的字符串,mysqli例如有一个方法real_escape_string()可以防止任何可能被解释为 SQL 的代码被执行,这个方法主要用于数据库安全。

您应该确保用户不能通过转义斜杠在您的服务器上执行恶意代码,这样做的方法是使用该addslashes()功能。

除此之外,从基本的安全角度来看,您应该很好。

于 2013-02-22T16:59:56.583 回答