CKEditor安全最佳实践

Question

我在我构建的一个小型的PHP/MySQL论坛中使用http://ckeditor.com/。我的问题：

1. 是否可以将用户创建的HTML保存在数据库中，然后在我的应用程序中重新显示？我应该采取什么预防措施来保护我的论坛的用户不受脚本注入之类的影响呢？
2. 使用BBCode会比使用BBCode更安全吗？我尝试过ckeditor插件，但是它缺少一些基本的格式，比如文本对齐.有人知道如何扩展插件以增加文本对齐吗？

Answer 1

对于第一个问题，你需要做的主要有两件事：

1. 安全地将用户内容保存到数据库中，这样您就不会受到SQL注入攻击的攻击。请参阅此问题，以了解如何最好地处理该Best way to stop SQL Injection in PHP.
2. Prevent --从向数据库提交不安全的=>到数据库，然后重新显示给用户，并使他们易受XSS攻击。这里有很多关于这方面的问题。这里有一个XSS Prevention in PHP.

=>