Рекомендации по безопасности CKEditor

Question

Я использую http://ckeditor.com/ на небольшом форуме по PHP / MySQL, который я построил. Мои вопросы:

1. Безопасно ли сохранять созданный пользователем HTML, подобный этому, в базе данных, а затем повторно отображать его в моем приложении? Какие меры предосторожности следует предпринять, чтобы обезопасить пользователей моего форума от внедрения скриптов и тому подобного?

   <p>test</p>
   <span style="font-size: 14px;">test</span>
   

2. Было бы безопаснее использовать BBCode вместо HTML? Я пробовал плагин ckeditor bbcode, но ему не хватает базового форматирования, например выравнивания текста ... Кто-нибудь знает, как расширить плагин для добавления выравнивания текста к нему?

Answer 1

Для первого вопроса вам нужно сделать две основные вещи:

1. Безопасное сохранение пользовательского контента в вашей базе данных, чтобы вы не были уязвимы для атаки SQL-инъекцией.Посмотрите этот вопрос о том, как лучше всего справиться с этим => Лучший способ остановить SQL-инъекцию в PHP .

2. Запретить кому-либо отправлять небезопасный HTML в вашу базу данных, чтозатем повторно отобразите их пользователям и сделайте их уязвимыми для атаки XSS.Есть много вопросов, которые касаются этого здесь, на SO.Вот один из них => XSS Prevention в PHP .