CKEditor 安全最佳实践

2024-03-27

我在用http://ckeditor.com/ http://ckeditor.com/在我建立的一个小型 PHP/MySQL 论坛中。我的问题：

将用户创建的 HTML 像这样保存在数据库中然后在我的应用程序中重新显示它是否安全？我应该采取哪些预防措施来确保论坛用户免受脚本注入等问题的侵害？
```
<p>test</p>
<span style="font-size: 14px;">test</span>
```
使用 BBCode 代替 HTML 会更安全吗？我尝试了 ckeditor bbcode 插件，但它缺少一些基本格式，例如文本对齐...有谁知道如何扩展插件以添加文本对齐吗？

对于你的第一个问题，你需要做两件主要的事情：

将用户内容安全地保存到数据库中，这样您就不会受到 SQL 注入攻击。请参阅此问题以了解如何最好地处理该问题=>PHP 中阻止 SQL 注入的最佳方法 https://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php.
防止某人向您的数据库提交不安全的 HTML，然后这些 HTML 会重新显示给您的用户，使他们容易受到 XSS 攻击。这里有很多与此相关的问题。这是一个 =>PHP 中的 XSS 预防 https://stackoverflow.com/questions/2652138/xss-prevention-in-php.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

php

mysql

ckeditor

Xss

CKEditor 安全最佳实践的相关文章

将 PHP 短开放标签替换为

我有大量多年来编写的 php 文件我需要将所有短开放标签正确替换为正确的显式开放标签 change

PHP MongoDb 驱动程序：如何设置执行代码的超时

我有以下代码它在 MongoDb 端执行一段代码 mongoCode new MongoCode Some JS code db gt execute mongoCode array socketTimeoutMS gt 1000000
gem install mysql：无法构建 gem 本机扩展 (Mac Lion)

我为 Mac OS X Lion 安装了 MySQL 5 5 27 来自 dmg 现在我尝试安装 mysql gem gem install mysql Building native extensions This could take
如何在 GitHub Action 中使用不同版本的 PHP 进行测试

我有一些 PHP 代码其中包含使用以下命令运行的测试PHPUnit并想对其进行测试GitHub Actions 我在他们的文档中找不到测试 PHP 包的方法我想使用不同版本的 PHP 进行测试但他们只有最新的版本7 3安装您可以添加
如何在 JavaScript 中创建服务器端进度指示器？

我想在我的网站中创建一个部分用户可以在其中进行一些简单的操作update纽扣这些中的每一个update按钮将发送到服务器并在幕后进行长时间的处理当服务器处理数据时我希望用户有某种进度指示器例如进度条或文本百分比我使用 jQue
分页显示所有其他页面上第 1 页的相同帖子

我最近在创建即将发生的事件列表时得到了很多帮助请参阅此处显示即将举行的活动包括今天的活动 https stackoverflow com questions 17343615 showing upcoming events includ
在哪里可以获得 PHP 5.3+ 的 runkit DLL 扩展？

这是一个简单的问题我在哪里可以获得 PHP 5 3 版本的 runkit 扩展它的手册 http php net manual en book runkit php http php net manual en book runkit
Laravel Vue 组件只能传递数字？

在我的 UserMenu vue 中我写道 export default props nameVal data return 并在blade php中
在 foreach 中使用 QueryPath 的多个查找

我正在使用 QueryPath 和 PHP 这发现 eventdate 没问题但不会为 dtstart 返回任何内容 qp htmlqp url foreach qp gt find table schedule gt find tr a
Facebook PHP-SDK 页面刷新后似乎丢失了 userID

我似乎登录工作正常我可以登录接受应用程序第一次然后显示用户信息例如姓名图片等然而当我刷新页面时 userid 又回到 0 我必须再次登录我不确定问题是什么我必须在每次页面加载时重新启动它还是什么我不知道我会发布一些
在 PHP 字符串中格式化 MySQL 代码

是否有任何程序 IDE 可以在 PHP 字符串中格式化 MySQL 代码例如我使用 PHPStorm IDE 但它无法做到这一点它对 PHP 和 MYSQL 执行此操作但不适用于 php 字符串内的 MYSQL 我已准备好使用新的
Facebook API sdk 4.0 - 将照片发布到 Facebook

我正在尝试创建一个应用程序用户可以在其中浏览照片并将其从计算机提交到 Facebook 为此他们首先必须将照片上传到服务器然后使用 Facebook 请求将此图像发布到 Facebook 我正在使用多部分表单数据这就是我到目前为止
如何在 Windows 上安装 Zend 框架

安装 Zend Framework 就是这么简单是的对好吧我正在写一本初学者的书有一件不太详细的事情是最重要的部分安装该死的东西浏览了几个小时的快速入门指南后它只说下载 Zend 添加包含目录 bla bla 然后就完成了
如何在codeigniter中将上传图片比例限制为16:9？

这是我用来上传图像的代码 this gt load gt library upload ext pathinfo file name PATHINFO EXTENSION img name now ext imgConfig upload
如何使用更新资源控制器 laravel 4？

我有带有索引编辑更新方法的客户控制器 Route resource customer CustomerController 控制器方法更新 public function update id echo id 我的 HTML 表单
我可以使用 HSQLDB 进行 junit 测试克隆 mySQL 数据库吗

我正在开发一个 spring webflow 项目我想我可以使用 HSQLDB 而不是 mysql 进行 junit 测试吗如何将我的 mysql 数据库克隆到 HSQLDB 如果您使用 spring 3 1 或更高版本您可以使用 s
使用 php/regex 验证美国电话号码

EDIT 我混合并修改了下面给出的两个答案以形成完整的功能现在它可以完成我想要的功能然后是一些所以我想我会将其发布在这里以防其他人来寻找同样的东西 Function to analyze string against many p
PHP 拒绝从 var_dump、print 等输出数据

我目前正在运行 WAMP 服务器并且在过去的 30 分钟内一直在尝试弄清楚我的项目如何以及为什么不会输出任何指定的 PHP 数据起初我以为是因为我有一个 htaccess文件的output buffering被禁用所以我删除了它仍然
通过 htaccess 将 PNG 解析为 PHP 仅适用于本地服务器，但不适用于网络服务器

我用 PHP 创建了一个动态 PNG 图片为了使用 PNG 扩展名我创建了一个包含以下内容的 htaccess 文件 AddType application x httpd php png 在我的本地 XAMPP 服务器上一切工作正常
如何修改现有表以添加时区

我有一个包含 500 多个表的大型应用程序我必须将应用程序转换为时区感知当前应用程序使用new java util Date GETDATE 与服务器的时区即没有任何时区支持我已将这项任务分为几个步骤以便于开发我确定的第一个步骤

随机推荐

如何将浮动子 div 的高度扩展到父级的高度？

我的页面结构如下 div class parent div class child left floatLeft div div class child right floatLeft div div 现在child leftDIV 的内容
如何获得鲜明的人物形象？

我有一个类似的代码 string code AABBDDCCRRFF 在此代码中我只想检索不同的字符输出应该是这样的 ANS ABDCRF string code AABBDDCCRRFF string answer new Strin
.net/java 中有哪些优秀的集体智能开源库？

或者有任何广泛利用集体智慧的开源项目吗看看书吧集体智慧 https rads stackoverflow com amzn click com 0596529325作者托比塞加兰它涵盖了很多主题例如亚马逊如何生成推荐等书中有很多
在 TypeScript 中将变量定义为可区分联合的一种变体

我有以下打字稿代码它使用可区分的联合来区分一些相似的对象 interface Fish type FISH interface Bird type BIRD flyingSpeed number interface Ant type AN
Magento REST API 身份验证

有没有办法从代码传递登录凭据而不是每次在弹出窗口中输入凭据进行登录授权您不需要每次都需要登录凭据进行授权 OAuth 成功授权后您将获得访问令牌和访问密钥稍后使用它们进一步调用 API Oauth 协议就是这样工作的我猜 Magen
PDO：使用 mysql INSERT ON DUPLICATE KEY UPDATE 检查更新或插入的记录

使用 PDO PHP 和 MySQL 当我使用某个记录时如何检查记录是否被插入或更新INSERT ON DUPLICATE KEY UPDATE陈述我见过一个使用的解决方案mysql affected rows 对于 PHP 但我正在寻
在循环期间使用 while mysql_fetch_array 和 UPDATE

我正在尝试从一个表中提取数据将列与变量进行比较然后如果它们匹配则添加它们并更新另一个表上的字段看来 UPDATE 只在 while 循环内工作一次并将该一次的值放入整个表中该列的每一行中奇怪的是当我回显它时所有值都是正确的
数据表导出到 Excel <选择选项>

在我的测试页中我插入了一个选项列表我需要仅将所选值导出到 Excel 但现在我的 Excel 结果包括选择选项的所有列表 My code
如何使用 PHP 解析序列化数据？

这是我的序列化数据的示例 a 10 s 7 contact s 1 1 s 19 profile affiliation s 23 University Inc s 18 profile first name s 3 Ben s 22 pr
如何在shutil.copytree中编写忽略的回调函数

我对 python 比较陌生我正在尝试将一个目录复制到另一个维护结构的目录我在用 shutil copytree src dst symlinks False ignore None copy function copy2 ignore
无法读取未定义的属性“executeScript”

我按照 chrome 扩展的入门教程进行操作但出现以下错误我搜索谷歌有人说无法访问 content js 中的 executeScript 但错误来自 popup js 我曾尝试将 chrome scripting execute
如何 npm 更新 package-lock.json 中的依赖项版本？

正如标题所示但是如果可能的话我不想在 package lock json 中手动重写版本字符串我尝试了以下方法如何将 package json 中的每个依赖项更新到最新版本 https stackoverflow com ques
无法从“const jchar *”转换为“const wchar_t *”

这是从 cpp 文件引发的错误我正在使用 Visual Studio 10 和 windows7 32 位并从 Eclipse Indigo 进行编译 AUWideString JNIEnv jni jstring jstr mJni
如何在 Tkinter 中悬停后更改多个小部件的颜色？

我正在尝试制作一个脚本它将在悬停后更改小部件的背景和前景色 from Tkinter import root Tk Hover1 Button root text Red color bg white Hover1 pack Hover2
WPF。是否可以进行椭圆“矩形边界”命中测试？

是否可以在椭圆边界矩形中进行命中测试就像这张图片上一样 http s22 postimg org 6co1y7vap image png 您可以将它们都放入 border 网格中并检查是否被单击 XAML
ElementListUnion - 为通用列表对象提供重复注释的简单 xml

我正在尝试使用 elementlistunion 反序列化列表字段 Customer java ElementListUnion ElementList inline false type Thing class ElementList i
如何修复：项目中未使用 Google Sheets API

我想建立一个问卷调查线聊天机器人并将答案传输到谷歌表这是我的代码导入操作系统 from flask import Flask request abort from linebot import LineBotApi WebhookHan
TFS 2010：使用内部版本号格式的标签名称

我正在尝试使用 TFS 2010 设置构建我希望构建编号格式类似于 BuildDefinitionName 版本 where 版本是在队列构建对话框的获取版本字段中指定的版本标签或变更集如果没有具体版本我想要的版本是lat
等轴散点图

我有一个如下所示的数据集 DataFrame lt data frame x runif 25 y runif 25 z sample letters 1 4 25 rep TRUE 并使用 Lattice 包我可以用以下几行绘制等轴散点
CKEditor 安全最佳实践

我在用http ckeditor com http ckeditor com 在我建立的一个小型 PHP MySQL 论坛中我的问题将用户创建的 HTML 像这样保存在数据库中然后在我的应用程序中重新显示它是否安全我应该采取哪些预防措

CKEditor 安全最佳实践

CKEditor 安全最佳实践 的相关文章

随机推荐

热门标签

CKEditor 安全最佳实践的相关文章