Er zijn twee aspecten waarmee u rekening moet houden bij het accepteren van door gebruikers gegenereerde tekst die later wordt weergegeven.
Allereerst moet u uw database beschermen tegen injectieaanvallen. Hier is een eenvoudige PHP-functie voor:mysql_real_escape_string() is meestal voldoende om uw database te beschermen tegen injectie wanneer u deze string doorgeeft om op te slaan als een veldwaarde.
Vanaf daar moet je voorzichtig zijn met je weergave, aangezien een gebruiker die HTML-code mag uploaden nare dingen kan doen met andere gebruikers wanneer die code wordt weergegeven. Als je artikelen in platte tekst schrijft, kun je eenvoudig htmlspecialchars() de resulterende tekst. (u zult waarschijnlijk ook nieuwe regels willen converteren naar
-tags.) Als u een opmaakoplossing gebruikt, zoals de Markdown-engine die op deze site wordt gebruikt, bieden die oplossingen gewoonlijk HTML-opschoning als een functie van de engine , maar zorg ervoor dat u de documentatie leest en zorg ervoor.
Oh, zorg ervoor dat je ook je GET/POST-variabelen verifieert die worden gebruikt om de artikelen in te dienen. Dat is vanzelfsprekend, en de uitgevoerde verificatie moet worden afgestemd op wat uw site doet met zijn logica.