Как принять ввод программного кода для отображения?

Question

Какой самый безопасный способ принять введенный пользователем программный код в PHP, сохранить его в базе данных и отобразить обратно с предварительным тегом HTML?

В настоящее время я преобразовываю ввод в объекты HTML, но я почему-то думаюэто было бы не так просто ...

Есть предложения?

Answer 1

Программный код - это просто текст; если он не выполнен, не может быть никакого вреда.

Это означает, что вам нужно беспокоиться о:

• Защита вашей базы данных от внедрения SQL. Это можно сделать, экранируя входную строку (mysql_real_escape_string()) или используя подготовленные операторы.

• Защита ваших пользователей от XSS. Это можно сделать путем преобразования вашего кода в html-сущности (т. Е. С использованием htmlspecialchars()), поэтому потенциально вредоносные теги (т. Е. <script>) преобразуются в текст (например, <script>).