작은 포럼 유형을 만들기 위해 노력하고 있습니다. 그래서 내가 거기에 html을 던질 수있는 주석을 어떻게 할 것인가? 사전에누군가가 포럼 댓글에 HTML을 던지지 못하게하는 방법
감사합니다 =)
작은 포럼 유형을 만들기 위해 노력하고 있습니다. 그래서 내가 거기에 html을 던질 수있는 주석을 어떻게 할 것인가? 사전에누군가가 포럼 댓글에 HTML을 던지지 못하게하는 방법
감사합니다 =)
가장 간단한 방법은 <
및 >
을 >
으로 바꾸고 해당 게시물을 데이터베이스에 삽입하는 것입니다.
기본 출발점이기 때문에 나중에 특정 태그를 허용하고 나중에 확장 할 수 있지만 거의 모든 HTML 삽입에 대해 사용자를 보호 할 수 있습니다.
또는 HTML 인 코드 기능을 사용하여 입력을 살균 할 수 있습니다.
당신은 약 input sanitization를 읽을 필요가있다.
을 (를) 사용하지 않으려면에만 htmlspecialchars()
을 사용할 수 있습니다. 데이터베이스에 저장하기 전에 수행할지 또는 페이지 출력 전에 수행 할지를 선택할 수 있습니다 (대부분의 사람들은 사용 직전, 즉 페이지를 출력 할 때 출력물을 살균하는 것이 좋습니다).
나는 그 주장에 동의하지 않을 것이다. 데이터베이스에 들어가기 전에 위생 처리를하면 일회성 조치입니다. 산출물을 위생 처리하는 경우 데이터가 사용될 때마다 위생 처리를 수행해야합니다. – syrion
모든 태그를 제거하려면 strip_tags를 사용할 수 있습니다.
<
및 >
을 >
으로 제거하면 저장된 db 항목에 많은 양의 정크가됩니다.
하지만이 포럼을 만드는 경우 어쩌면 당신은 사용자가 조금 그들의 포스트, 라 유래를 개인화 할 수있는 구체적인 방법을 구현해야합니다 ..
당신은 특별한 단어 목록을 만들거나 그냥 태그를 허용 할 수 있습니다. this site을 확인하십시오.
inpuit sanitazation은 모순입니다 - 문제는 입력 유효성 확인 및 출력 santitization입니다. – symcbean
sanitization은 유효성 검사의 한 형태입니다. OWASP : http://www.owasp.org/index.php/Data_Validation#Sanitize – syrion