Hay dos frentes a considerar al aceptar texto generado por el usuario que luego se mostrará.
En primer lugar, debe proteger su base de datos de los ataques de inyección. Hay una función PHP simple para esto:mysql_real_escape_string() generalmente será suficiente para proteger su base de datos de la inyección al pasar esta cadena para almacenarla como un valor de campo.
A partir de ahí, debe tener cuidado con su visualización, ya que un usuario al que se le permite cargar código HTML puede hacer cosas desagradables a otros usuarios. cuando se muestra ese código. Si está escribiendo artículos de texto simple, puede simplemente htmlspecialchars() el texto resultante. (Probablemente también desee convertir líneas nuevas en etiquetas
). Si está usando una solución de formato, como el motor Markdown que se usa en este sitio, esas soluciones generalmente proporcionarán desinfección de HTML como una función del motor. , pero asegúrese de leer la documentación y asegurarse.
Ah, asegúrese de verificar también las variables GET/POST utilizadas para enviar los artículos. Eso es evidente, y la verificación realizada deberá adaptarse a lo que su sitio está haciendo con su lógica.
