我想实现一个小票系统。
在前端,我想使用所见即所得的编辑器tinyMCE,它具有强大的功能和表格等功能。我想防止其他元素进入我的数据库,如脚本输入等。你知道一个PHP库吗,我可以排除所有其他元素或只允许tinyMCE创建的元素?
在后端,我想使用原则 - 所以SQL注入应该通过这个来拒绝还是我错了?
您可能希望使用不同的所见即所得策略。在HTML中写入DOM用户输入具有非常高的XSS注入风险。
我会使用所见即所得的Markdown编辑器(如SimpleMDE(重新命令,并将用户输入以Markdown格式存储在数据库中。然后,您可以使用PHP库(如Parsedown(来解析Markdown内容并编写等效的HTML内容。Markdown的选项要少得多(只有文本格式(,这减少了XSS攻击的机会。
此外,您可能应该对用户内容进行一些服务器端检查,因为您永远无法确定您的用户是否使用了所见即所得编辑器提交票证。