CKEditor 安全最佳实践

Question

5

我在我自己建立的一个小型PHP/MySQL论坛中使用http://ckeditor.com/。我的问题是：

Is it safe to save user-created HTML like this in the database and then re-display it in my application? What precautions should I take to keep the users of my forum safe from script injection and the like?
```
<p>test</p>
<span style="font-size: 14px;">test</span>
```
Would it be safer to use BBCode instead of HTML? I tried the ckeditor bbcode plugin but it lacks some basic formatting like text alignment ... Does anyone know how to extend the plugin to add text alignment to it?

- jpc

你使用的是哪种服务器端技术？ - Peter

假设ckeditor是脚本安全的，那么你的问题已经得到了ckeditor文档的充分覆盖。下次请在撰写问题时付出更多的努力。 - Robert Harvey

我并不是在说ckeditor不安全，而是在问将纯HTML保存在数据库中是好还是坏？ - jpc

谢谢你的回答，我没有Shift键的问题，也不是用手机发帖，但你为什么要问这个？ - jpc

即使CKEditor是安全的，将纯HTML保存在数据库中也不是一个选项：您永远不能信任来自客户端的数据。服务器必须始终验证它。绕过客户端验证非常容易。 - gentiane

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Peter · Accepted Answer

对于您的第一个问题，有两件主要的事情需要做：

1.安全地将用户内容保存到数据库中，以避免受到SQL注入攻击的威胁。请参考此SO问题，了解如何最好地处理=> PHP 中防止 SQL 注入的最佳方法。