Mysql
 sql >> база данни >  >> RDS >> Mysql

100% безопасен начин за съхранение на html в MySQL

SQL инжектирането в повечето случаи лесно се избягва с използването на подготвени оператори.

XSS е по-труден, ако планирате да позволите на потребителите да публикуват HTML маркиране. Трябва да премахнете всички <script> тагове, всички on* атрибути от тагове, всички javascript: URL адреси и дори тогава това вероятно не е напълно гарантирано, за да направи входния HTML безопасен. Има библиотеки като HTMLPurifier това може да помогне, но стига да разрешите HTML, рискувате да пропуснете нещо злонамерено.

Вместо това можете да използвате библиотека, която прилага нещо като markdown или wikitext. Това силно ограничава това, което потребителите могат да въвеждат, като същевременно им позволява да маркират съдържанието до известна степен. Не е напълно доказателство (хората все още могат просто да публикуват връзки към злонамерени сайтове и се надяват, че потребителите ще щракнат до тях, което някои ще бъдат достатъчно наивни, за да направят), и няма да можете да използвате богат редактор като TinyMCE без някакъв вид на плъгин, но е много по-лесна работа да дезинфекцираш markdown, отколкото да дезинфекцираш HTML.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Връщане на заявка в редов формат вместо в колона

  2. Как да получите броя на всяка отделна стойност в колона?

  3. Как да заредите динамично стойности в контекстния XML файл на Tomcat

  4. Синхронизиране на първичния ключ между две таблици, съхранявани в две различни бази данни

  5. това заключва ли базата данни?