Question

При отображении комментариев пользователей какой тип санации следует выполнять?

Я хочу разрешить пользователям отображать ссылки, использовать стили, такие как полужирный шрифт и курсив, но, очевидно, предотвращать внедрение JavaScript и других тегов сценариев.

использование htmlspecialchars () уберет все символы <>, поэтому пользователи не смогут стилизовать свои комментарии, если не используются какие-либо коды, такие как BBCodes.

было бы лучше использовать strip_tags ()?
есть ли какой-то недостаток безопасности, которого я пропускаю, который можно предотвратить с помощью дополнительных санитарных условий?

(отметим, что фреймворки, такие как codeigniter, уже предоставляют такую функцию?)

Заранее спасибо,

Irmantas · Answer 1 · 02 января 2012

strip_tags не совсем безопасны, есть хорошая статья об этом http://www.reddit.com/r/PHP/comments/nj5t0/what_everyone_should_know_about_strip_tags/

Ignacio Vazquez-Abrams · Answer 2 · 02 января 2012

Вы должны рассмотреть возможность использования чего-то вроде Markdown для ввода данных пользователем.Таким образом, они могут стилизовать свой текст, и вы можете контролировать, какой стиль они могут использовать.

санитарию для выполнения комментариев пользователей?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

санитарию для выполнения комментариев пользователей?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов