HTML编辑器漏洞

Question

我在做一家网络商店，我对产品的描述有一个小问题。

我希望用户用一些基本的html元素来设置他自己的描述，比如<b>、<iframe>、<body>、<style>等等。

那么，我现在如何保护这种描述不受sql注入或恶意javascript和php代码的影响呢？

我试过用myqsl_real_escape_string()，但我认为这还不够

Answer 1

您可以使用BB-Codes作为描述。

例如，：

<?php

$description = 'hello, [b]b Tag[/b] for test';
$description = htmlspecialchars($description, ENT_QUOTES, "UTF-8");
$description = preg_replace('\[b](.*?)\[\/b]','<b>$1</b>',$description);

echo $description;

?>

输出：

你好，b标记用于文本

Answer 2

保护不受恶意HTML的影响可能是最好的选择，比如HTMLPurifier，您可以在这里列出您准备从用户那里接受哪些标记。

不幸的是，没有一种从用户那里接受JavaScript的安全方法，因为隐藏内容的方法太多了，即使在沙箱环境中运行它也不一定能告诉您它是否安全，因此完全剥离<script>标记可能是最安全的。

Answer 3

我建议使用PDO来运行参数化SQL查询，这样可以防止SQL注入。

还可以通过使用这些技术来防止sql注入。

• 使用mysql_real_escape_string();
• 使用准备好的语句
• 使用PDO准备的语句

你可以在这里找到更多关于它的信息：

http://packetcode.com/article/preventing-sql-injection-php-security