我有一个基于javascript的富文本编辑器。
保存它生成的标签的最安全方法是什么?
我正在使用MySQL作为我的数据库。
我不确定使用mysql_real_escape_string($text);是否安全。
我想不出在这里使用htmlentities的理由。 mysql_real_escape_string在这里至关重要,因为它可以防止人们将恶意SQL代码(如';DROP * FROM table foo;--)注入您的数据库。 我会在没有htmlentities的情况下尝试它,如果您发现需要转换为实体,那么您可以尝试htmlspecialchars只转换特殊字符。
如果要限制表单中允许的 HTML,您可能还需要查看strip_tags函数。
相关文档:
http://us2.php.net/manual/en/function.htmlentities.phphttp://us2.php.net/manual/en/function.htmlspecialchars.php
祝你好运
我建议您使用mysqli与数据库进行交互,这样您就不需要转义数据并获得针对SQL注入的完整保护。当然,您可能仍然需要防止HTML注入。
您不需要将文本字符串写入 JavaScript 文件。如果你需要它由JavaScript处理,我建议你使用XMLHttpRequest获取数据(与名称所暗示的相反,它不需要你的数据是XML形式)。