0

CKEditor を使用して、ユーザーがコメントを投稿できるようにしています。フォーラムで bbcode を使用していません。CKEditor のソースボタンを非表示にして、次の手順を実行すると

  1. htmlspecialchars() 関数を使用して html 要素を処理します
  2. ユーザー parse_url を使用して、データが自分のドメインから送信されたことを確認します

ユーザーが送信したデータを安全に処理していますか? まだ bbcode を使用する必要がありますか? アプリケーションをより安全にするために、さらにどのような手順を実行する必要がありますか?

4

1 に答える 1

2

そのボタンを非表示にすることでコードを保護することはできません。実際、クライアント側で何をしても役に立ちません。

DB に追加する前に、ユーザーが投稿した内容を確認することを強くお勧めします。前回そのようなことに対処しなければならなかったときは、PHPIDSHTML Purifierの組み合わせを使用しましたが、それはずっと前のことであり、それらが現在の最適なツールであるかどうかはわかりません。

于 2013-03-24T11:32:06.157 に答える