СОДЕРЖИМОЕ данные div-сообщения для PHP

Question

Я много искал и все еще не могу найти решения для моей потребности.

У меня есть контент editable div, который собирает отзывы от моего пользователя. Внутренний HTML-код копируется в textarea по jquery, а затем публикуется форма.

Теперь, на конец PHP, я не уверен, как это сделать с данными «textarea».

1. Проверяет наличие каких-либо вредоносных сценариев.
2. Как эти данные надежно хранятся в базе данных SQL, так, извлекаемые отображается с существующими HTML-теги, как <span>,<b>,<i>,<u> и <img>

Любая помощь будет признателен.

Answer 1

Содержание TEXTAREA - это простой текст. Существует несколько способов защитить себя от SQL Injection и других вредоносных введенных пользователем данных.

1. Используйте mysql_real_escape_string() для безопасного ввода данных в вашу базу данных. Если вы используете MySQLi, это будет $mysqli->real_escape_string().

2. Используйте htmlentities() для преобразования специальных символов в их эквиваленты ASCII.

http://php.net/manual/en/function.mysql-real-escape-string.php

http://php.net/manual/en/function.htmlentities.php

Это позволит вам хранить все, что пользователь вводит в вашей БД безопасно. Когда вы показываете его на своей странице, скажем в качестве комментария, вы можете затем html_entity_decode() вернуть ASCII обратно в HTML, а затем использовать strip_tags(), чтобы очистить вещи, такие как SCRIPT или EMBED, или любые другие HTML-теги, которые вы не хотите использовать на ваша страница (как и комментарий @ismael_miguel).