Ben her zaman html varlıkları ve mysql gerçek bir kaçış string fonksiyonları hem aracılığıyla kullanıcı girdileri ile çalıştırın.

Ama şimdi ben admin bölümünde bir WYSIWYG editörü olan bir CMS inşa ediyorum. Ben WYSIWYG düzenlenebilir kullanıcı içerik htmlentitiesi () kullanarak tüm stilleri kaldırıldı fark ve (beklendiği gibi) ön uç makale sayfasında tırnak bir demet atar.

Yani bu durumda kullanıcı tarafından girilen html / Javascript'leri temizlemek değil ok? Hala çatışma değil (ki) mysql_real_escape_string kullanacaktır.

Arka uç erişimi olacak sadece birinde yönetici, ben onlar vb mesajları silerek hasara yol açabilir, ancak şimdi, bir yazı sayfası oluşturmak, bir hacker bir şekilde erişimi var herhalde en az bir senaryo düşünüyorum rağmen onun yerine bu yazıyı yaparak kendi sitesine ziyaretçi göndermek için bir fırsat olarak kullanmayı tercih:

<script>window.location = "http://evilsite.com"</script>

Peki ben ne yapmalıyım? ve ayrıca javascript devre dışı ama html ve css inline olmaz herhangi bir işlevleri vardır?

WYSWYG arada küçücük edilir.