Рекомендации по обеспечению безопасности CKEditor

Я использую http://ckeditor.com / в небольшом форуме PHP/MySQL, который я создал. Мои вопросы:

Безопасно ли сохранять созданный пользователем HTML-код, подобный этому, в базе данных, а затем повторно отображать его в моем приложении? Какие меры предосторожности я должен предпринять, чтобы защитить пользователей моего форума от внедрения скриптов и тому подобного?
```
<p>test</p>
<span style="font-size: 14px;">test</span>
```
Было бы безопаснее использовать BBCode вместо HTML? Я попробовал плагин bbcode ckeditor, но ему не хватает некоторого базового форматирования, такого как текст выравнивание... Кто-нибудь знает, как расширить плагин, чтобы добавить к нему выравнивание текста?

4

php mysql xss ckeditor

Author: genesis, 2011-08-29

Source

1 answers

score 2 · Accepted Answer

Что касается вашего первого вопроса, вам нужно сделать две основные вещи:

Безопасно сохраняйте пользовательский контент в своей базе данных, чтобы вы не были уязвимы для атаки с использованием SQL-инъекций. Смотрите этот вопрос SO, чтобы узнать, как лучше всего справиться с этим => Лучший способ остановить внедрение SQL в PHP.
Предотвратите отправку кем-либо небезопасного HTML-кода в вашу базу данных, который затем будет повторно отображен вашим пользователям и сделает их уязвимыми для атаки XSS. Существует множество вопросы, которые касаются этого здесь, на SO. Вот один=>Предотвращение XSS в PHP.