0

我有一个将数据保存到 MySQL 数据库的网站

我应该在将 HTML 插入 MySQL 或在我的网站上显示它时转义它吗?

理想情况下,我想将原始 HTML 输入到我的数据库中,并在每次从中提取时进行清理。这样做有什么危险吗?

示例 html:<h1>test</h1>

4

1 回答 1

1

通常用户不会保存 HTML,但我不希望他们受到限制。当然,该 HTML 不会被执行。它只会显示

我应该在将 HTML 插入 MySQL 或在我的网站上显示它时转义它吗?

然后你就没有 HTML 了。你有纯文本。

转义要注入 HTML 的纯文本是一种快速操作,除非我们在一行中讨论 1 GB 的文本,否则缓存它是没有意义的。如果您在保存之前将纯文本转换为 HTML,则您不再拥有原始文本,并且您被迫撤消编码只是为了不在HTML 上下文中使用它(例如,将其放在 JavaScript 变量中或将其用作 e -邮件主题)。

于 2017-02-09T17:04:32.273 回答