1
저는 사용자 입력 처리와 관련하여 여러 가지 훌륭한 질문과 대답을 오늘 읽었습니다. htmlspecialchars()를 사용하여 사용자 데이터를 작성/편집 양식에 표시합니다 (그러나 준비된 PDO 문을 통해 원시 입력을 데이터베이스로 수용합니다).PHP를 사용하여 신뢰할 수없는 HTML 표시
내가 아는 주요 질문은 사용자가 HTML을 제출하여 공개 할 때 무엇을 할 수 있는지입니다. 분명히 htmlspecialchars()는 태그를 인코딩하고 목적에 부합하지 않는 내용을 렌더링하므로 더 이상 적합하지 않습니다.
내 응용 프로그램은 현재 제품 설명을 위해 관리자에게 HTML을 허용하고 있습니다. 이렇게하면 악의적 인 관리자가 잠재적으로 안전하지 않은 데이터를 공용 페이지에 주입 할 수 있습니다.
사람들은 어떻게이 문제에 대처할 수 있습니까?