我有一个典型的所见即所得的博客编辑器,它能够嵌入 youtube 视频和来自其他一些常见来源的视频。编辑器是基于 JavaScript 的。它在我收到的内容中添加了太多的 html 标签和 java-script。因为我必须将从编辑器收到的这些数据存储在我的 MySQL 数据库中。我想给它消毒。清理这些数据并使其安全地存储在数据库中并进一步处理它的最佳方法是什么?
【问题讨论】:
标签: javascript php html mysql wysiwyg
您可以定义您希望允许的标签,然后轻松过滤掉 p 中的其他标签:
$allowedTags='<p><strong><em><u><h1><h2><h3><h4><h5><h6><img>';
$allowedTags.='<li><ol><ul><span><div><br><ins><del>';
$receivedData = $_POST['textFromEditor'];
$sContent = strip_tags(stripslashes($receivedData),$allowedTags);
【讨论】:
<script>标签。除非在这些标签中,否则javascript不会执行。
不要试图重新发明轮子。 一个足够的类来实现这一点是htmlpurifier
【讨论】: