0

我有一个用 cakephp (PHP) 开发的网站,用户可以在页面中插入 textarea 少代码 (CSS) 和另一个 textarea html 代码。

我想将它存储到我的数据库中,但问题是:
- 要验证此文本区域是否有人不会插入错误代码(带有横幅的 iframe ...)以保护我的数据库和站点的安全性,是否存在解析、模式、用于较少代码 (CSS) 和 html 代码的正则表达式以将其保存到我的数据库中,而不可能使用 PHP、cakephp(带有模型验证)或 javascript 插入疯狂的代码?

谢谢

4

1 回答 1

2

验证和过滤 html 是一个复杂的问题,恢复到已经编写好的工具可能是有意义的。这是一个很好的比较(它可能显然有点偏向 HTML Purifier,但它涵盖了不同解决方案的功能和问题漂亮的墙)

http://htmlpurifier.org/comparison

如果您不确定应该禁止哪些标签,最简单的方法是过滤您明确允许的标签列表(白名单)

于 2013-07-22T10:03:03.523 回答