リッチテキスト（WYSIWYG出力）を保存する最も良い方法は何ですか？

Question

私は、JavaScriptベースのリッチテキストエディタを持っています。

生成するタグを保存する最も安全な方法は何ですか？

私は自分のデータベースとしてMySQLを使用しています。

mysql_real_escape_string($text);を使用するのが安全かどうかはわかりません。

Answer 1

ここではhtmlentitiesを使用する理由は考えられません。 mysql_real_escape_stringは、人々が';DROP * FROM table foo;--のような悪質なSQLコードをデータベースに注入するのを防ぐため、ここで重要です。私はhtmlentitiesなしでそれを試してみると、エンティティに変換する必要がある場合は、代わりにhtmlspecialcharsを試してみてください。

フォームに許可されるHTMLを制限する場合は、strip_tagsの機能を調べることもできます。

関連ドキュメント：データベース内
http://us2.php.net/manual/en/function.htmlentities.php
http://us2.php.net/manual/en/function.htmlspecialchars.php

幸運

Answer 2

データベースとのインターフェイスにはmysqliを使用することをお勧めします。データをエスケープしてSQLインジェクションを完全に保護する必要はありません。もちろん、HTMLインジェクションから保護する必要があります。

JavaScriptファイルにテキスト文字列を書く必要はありません。 JavaScriptで処理する必要がある場合は、XMLHttpRequestを使用してデータを取得することをお勧めします（これは、名前が示すとおり、データがXML形式である必要はありません）。