程序员经验分享-hwhale

CKEditor 安全最佳实践

2024-03-27

我在用http://ckeditor.com/ http://ckeditor.com/在我建立的一个小型 PHP/MySQL 论坛中。我的问题:

  1. 将用户创建的 HTML 像这样保存在数据库中然后在我的应用程序中重新显示它是否安全?我应该采取哪些预防措施来确保论坛用户免受脚本注入等问题的侵害?

    <p>test</p>
<span style="font-size: 14px;">test</span>

  2. 使用 BBCode 代替 HTML 会更安全吗?我尝试了 ckeditor bbcode 插件,但它缺少一些基本格式,例如文本对齐...有谁知道如何扩展插件以添加文本对齐吗?


对于你的第一个问题,你需要做两件主要的事情:

  1. 将用户内容安全地保存到数据库中,这样您就不会受到 SQL 注入攻击。请参阅此问题以了解如何最好地处理该问题=>PHP 中阻止 SQL 注入的最佳方法 https://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php.

  2. 防止某人向您的数据库提交不安全的 HTML,然后这些 HTML 会重新显示给您的用户,使他们容易受到 XSS 攻击。这里有很多与此相关的问题。这是一个 =>PHP 中的 XSS 预防 https://stackoverflow.com/questions/2652138/xss-prevention-in-php.

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

php

mysql

ckeditor

Xss

CKEditor 安全最佳实践 的相关文章

  • php 的睡眠函数

    作为使用 cron 作业的可能替代方案 我找到了 sleep 函数 我以前从未使用过这个 如果我告诉我的脚本在一种循环内运行 并且在该循环内我有这样的指令 sleeps for 86400 seconds or one day sleep

  • .htaccess php_value include_path 不起作用

    我在当地有一个小项目 我在 Windows 下使用 XAMPP 工作 我的文件目录结构是 根目录 C xampp htdocs routes Under this folder I have my bootstrap php with th

  • mysqli_fetch_assoc() 期望参数 1 为 mysqli_result,布尔值给出

    看来我的 mysqli query 不起作用 我该怎么办 在密码附近的查询中使用 AND 而不是逗号 这就是查询返回 false 并抛出该错误的原因 select

  • Mysql乘法查询

    我有一个名为 产品 的表 其中包含一个名为 价格 的字段 我只想将每种产品的价格加倍 请您帮我提供一条可以在 PHP myAdmin 中运行的 SQL 语句 update products set price price 2

  • PHP APC 潜在的缓存猛击避免了密钥

    我在尝试使用时收到此错误apc store 我用谷歌搜索了一下 发现这是APC定时炸弹错误并看到了一些建议添加的修复apc slam defense Off 到 php ini 我需要知道这是否是由于编程错误而发生的 如果是 如何修复它 这

  • 在 Zend Framework 2 (ZF2) 中创建新控制器的问题

    我正在使用 ZF2 Skeleton 应用程序 为了在现有模块中创建新控制器 我修改了模块 config php像这样的文件

  • 从 PHP 启动交互式 SSH bash 会话

    我正在使用 PHP 编写常见服务器管理任务的快捷方式 我正在使用deployer org 但这应该不重要 我想添加一个任务 用于在通过 SSH 连接到服务器后启动交互式 bash 提示符 例如 您将运行 dep ssh 其中 dep 是一个

  • MySQL“插入...重复键”具有多个唯一键

    我一直在阅读如何使用MySQL在重复键上插入 看看它是否允许我避免选择一行 检查它是否存在 然后插入或更新 然而 当我阅读文档时 有一个地方让我感到困惑 文档是这样说的 如果指定 ON DUPLICATE KEY UPDATE 并且插入的行

  • 出现致命错误 Uncaught CurlException: 26: 无法打开文件

    我正在尝试使用 PHP 的 GD 库创建朋友的动态图像 并且需要将其上传到我的朋友个人资料中 但我不断收到错误消息 致命错误 未捕获的 CurlException 26 无法打开第 820 行 home p170r760 public ht

  • Ionic 3 Uncaught(承诺):[object Object]

    我是 Ionic 3 和移动开发的新手 我正在尝试将 MySQL DB 连接到我的 Ionic 应用程序和 PHP Restful API 我用 Postman 测试了 API 它工作得很好 为了在 Ionic 中实现它 我做了以下操作 我

  • 在 Mac 上设置 Laravel php artisan 迁移错误:没有这样的文件或目录 [重复]

    这个问题在这里已经有答案了 将一个完美运行的 laravel 项目从 git 拉到运行 MAMP 的 mac 上 项目在linux机器上完美运行 作曲家安装 php artisan migrate 出现以下错误 PDOException S

  • ? LIKE(列 || '%')

    我可以有这样的条件吗 SELECT FROM table WHERE LIKE column 哪里的 是一个字符串参数值 例如 这些参数值 当列等于时应返回 true admin products admin products 1 admi

  • 重定向和引用者

    我的实际实现要复杂得多 需要身份验证和一堆其他东西 但以最简单的形式 这就是我遇到的问题 使用标头重定向不会将其自身显示为引用者 所以 假设我有三个页面 start php middle php 和 end php 启动 php a hre

  • 在 Javascript 中维护数组顺序

    我是 JavaScript 新手 在使用数组时遇到问题 我希望数组按照我显式编写的方式排序 而不是 JavaScript 决定它想要的方式 如果我们有一个数组 var array 0 zero 4 four 2 two 当我选择在控制台中显

  • 如何分别用其名称替换逗号分隔的部门 ID?

    我的桌子是这些 员工表 id name department 1 Carrera 1 2 Taylor 1 2 部门表 id name 1 CS 2 IT

  • 如何从自动添加的电子邮件中删除 data-saferedirecturl

    我正在使用 php 发送电子邮件 其中包含 exe 文件的下载链接 但是 gmail 在锚标记中添加了 data saferedirecturl 属性 该属性不允许下载文件 如果复制了网址并粘贴到新选项卡中 则开始下载 a href url

  • 将订单总重量添加到 WooCommerce 新订单电子邮件通知

    是否可以在 WooCommerce 新订单 电子邮件通知 针对管理员 中显示订单的总重量 这是挂钩在 woocommerce email after order table 操作挂钩中的自定义函数 它将在 新订单 电子邮件通知中显示总重量

  • PHP/regex:如何获取HTML标签的字符串值?

    我需要有关正则表达式的帮助或preg match http php net preg match因为我对这些还没有那么丰富的经验 所以这就是我的问题 我需要获取值 get me 但我认为我的函数有错误 html 标签的数量是动态的 它可以包

  • Eclipse PHP IDE - 自定义自动完成标签

    Eclipse IDE 新手 想知道是否有一种方法可以添加自动完成 更改 这样如果我输入 mres 它会将其翻译为 mysql real escape string 我知道正常的 PHP 代码完成 但看不到任何有关创建自定义快捷方式的信息

  • mcrypt_crypt 的替代方案?

    根据 php 7 0 mcrypt decrypt 已被弃用 我有以下代码 intSize mcrypt get iv size MCRYPT RIJNDAEL 256 MCRYPT MODE ECB strSize mcrypt crea

随机推荐

热门标签