我今天阅读了许多关于处理用户输入的优秀问题和答案。我现在使用 htmlspecialchars() 在创建/编辑表单中显示用户数据(但通过准备好的 PDO 语句接受原始输入到我的数据库中)。
我知道的主要问题是,当您允许用户提交 HTML 并将其显示给公众时,您会做什么。显然 htmlspecialchars() 不再适用,因为它只是对标签进行编码并使内容无用。
我的应用程序目前正在接受来自管理员的 HTML 用于产品描述。这将允许恶意管理员将潜在的不安全数据注入面向公众的页面。
人们如何应对这种情况?