Der er to fronter at overveje, når du accepterer brugergenereret tekst, som senere vil blive vist.
Først og fremmest skal du beskytte din database mod injektionsangreb. Der er en simpel PHP-funktion til dette:mysql_real_escape_string() vil normalt være tilstrækkeligt til at beskytte din database mod indsprøjtning, når du sender denne streng ind til lagring som en feltværdi.
Derfra skal du være forsigtig med din visning, da en bruger, der har tilladelse til at uploade HTML-kode, kan gøre grimme ting mod andre brugere når den kode bliver vist. Hvis du laver artikler i almindelig tekst, kan du blot htmlspecialchars() den resulterende tekst. (Du vil sandsynligvis også konvertere nye linjer til
-tags). Hvis du bruger en formateringsløsning, såsom Markdown-motoren, der bruges på dette websted, vil disse løsninger normalt give HTML-sanering som en funktion af motoren , men sørg for at læse dokumentationen og sørg for.
Åh, sørg for at du også verificerer dine GET/POST-variabler, der bruges til at indsende artiklerne. Det siger sig selv, og den udførte verifikation skal skræddersyes til, hvad dit websted gør med sin logik.