contentEditable="true" を使用して、javascript を介して HTML タグを挿入する、シンプルで軽量な WYSIWYG HTML エディターを作成しました。
入力をデータベースに送信、検証、および挿入する最良の方法がわからないことを除けば、すべてうまく機能します。誰かが独自のタグを挿入して出力を台無しにするのではないかと心配しています。
これまでの私の最善のアイデアは、入力をバッチベースに挿入する直前に、有効なすべてのタグを PHP で BBCode に変換してから、他のすべてのタグをクリアすることです。これは伝統的なものですか?
ありがとうございました!
悪意のあるコードを確実に取り除くために、HTML Purifierなどを介して実行することをお勧めします。
HTML Purifier が既にそれを行っているかどうかはわかりませんが、データを保存する前に、データベース攻撃に関連するコードを使用htmlentitiesまたは削除することもできます。htmlspecialchars
はい、そうです。もう 1 つの方法は、既に WYSIWYG エディターにあるタグを変換することです。どちらの方法でも、「ユーザー入力データを信頼しない」ことには役立たないため、とにかくそのコードを検証する必要があります。破損する可能性があると想定する必要があります。