我正在使用CKEditor让用户发布他们的评论。我不使用bbcode在我的论坛。如果我隐藏CKEditor的源按钮并执行以下步骤
- 使用htmlspecialchars()函数处理html元素
- user parse_url以确保数据已从我自己的域提交
我是否安全地处理用户提交的数据?我还需要使用bbcode吗?我还应该采取哪些措施使我的应用程序更安全?
隐藏该按钮将无法保护代码。事实上,你在客户端所做的一切都无济于事。
我强烈建议你在添加到数据库之前检查你的用户发布的内容。上次我必须处理这样的事情时,我使用了php和HTML净化器的组合,但那是很久以前的事了,我不知道它们现在是否是最好的工具。