我正在使用 CKEditor 让用户发表他们的评论。我没有在我的论坛中使用 bbcode。如果我隐藏 CKEditor 的源按钮并执行以下步骤
- 使用 htmlspecialchars() 函数来处理 html 元素
- 用户 parse_url 以确保数据已从我自己的域提交
我是否安全地处理用户提交的数据?我还需要使用bbcode吗?我还应该采取哪些步骤来使我的应用程序更安全。
问问题
112 次
您不会通过隐藏该按钮来保护您的代码。事实上,您在客户端所做的任何事情都无济于事。
我强烈建议您在将其添加到数据库之前检查用户发布的内容。上次我不得不处理这样的事情时,我使用了PHPIDS和HTML Purifier的组合,但那是很久以前的事了,我不知道它们是否是当今最好的工具。