我用nodejs做了一个表单网站。但我不知道 - 我应该允许哪些字符(来自文本区域(用户的评论?对于 exapmle/" ' (( {} , ; : ! ?(标点符号(我想允许这个字符。这些字符是安全问题吗?我使用mongodb作为数据库。像堆栈溢出评论区。我们可以在评论中添加所有字符并保存它们。
<form action="/comment" method="post" enctype="" id="myForm" onsubmit="myFunction()">
<textarea></textarea>
</form>您需要做的是允许一切,但保存它并安全地处理它。更具体地说,防止SQL注入等。
来自迈克尔·普拉特的回答
node-mysql 库在用作 你已经在做。看 https://github.com/felixge/node-mysql#escaping-query-values
虽然存在各种攻击,但输入到输入/文本区域中的文本将作为普通文本字符处理,尽管您可以确保添加的任何用户输入都被转义,否则在大多数情况下不会影响您的安全性。
您可以采取预防措施,例如确保您的网站处理加密流量,以缓解最常见的攻击类型。