問題のページはパスワードで保護されていますが、考えさせられました。Wymeditor J-Query プラグインを試してみると、かなりうまく機能し、山かっこを html 文字などに自動的に変換することで XSS スクリプトの試行を処理します。
明らかに、直接アクセスすると、ユーザーは JavaScript を無効にしてから、あらゆる方法で悪意のあるタグを DB に挿入できます。しかし、自動化されたスクリプトがパスワード保護を購入できた場合、javascript を無効にして、DB 情報が別のページに表示されたときに実行される悪意のあるスクリプトを DB に挿入することは可能でしょうか??
* アップデート *
もう少し広げた方がいいかもしれません。私は通常、strip_tags() を使用して準備済みステートメントを使用しますが、Wymeditor をクライアントに使用するには、strip_tags() を使用できません。悪意のあるコンテンツを削除するコードを書くことができることはわかっていますが、探している悪意のあるコンテンツがどれだけあるかはわかりません。 .