我目前正在一个网站上工作,用户可以在该网站上撰写几乎没有格式可能性的文章(如粗体、斜体、列表......)。我正在使用一个框架:CodeIgniter。
我是一个初学者,我听说过一些关于 XSS 的东西。我想知道您对我的实施有何看法。我阅读了这个主题: 使用 PHP 清理用户输入的最佳方法是什么?
1)用户写他的文章,用BBCode格式化。我正在使用 SCEditor。
2) 将其保存到数据库时,我使用 htmlspecialchars() 过滤任何可疑的 HTML 标记。当我保存数据或显示数据时,我应该这样做吗?
3)当我想在网站上显示文章时(例如用于其他用途),我将BBCode标签转换为HTML标签。
这是正确的方法吗?我在避免 XSS 吗?
我显然愿意接受建议和意见。
感谢您的回答