Ada dua hal yang perlu dipertimbangkan saat menerima teks buatan pengguna yang nantinya akan ditampilkan.
Pertama, Anda perlu melindungi database Anda dari serangan injeksi. Ada fungsi PHP sederhana untuk ini:mysql_real_escape_string() biasanya cukup untuk melindungi database Anda dari injeksi saat meneruskan string ini untuk disimpan sebagai nilai bidang.
Dari sana, Anda harus berhati-hati dengan tampilan Anda, karena pengguna yang diizinkan mengunggah kode HTML dapat melakukan hal-hal buruk kepada pengguna lain ketika kode itu ditampilkan. Jika Anda membuat artikel teks biasa, Anda cukup htmlspecialchars() teks yang dihasilkan. (Anda mungkin juga ingin mengonversi baris baru ke tag
.) Jika Anda menggunakan solusi pemformatan, seperti mesin penurunan harga yang digunakan di situs ini, solusi tersebut biasanya akan menyediakan sanitasi HTML sebagai fungsi mesin , tetapi pastikan untuk membaca dokumentasi dan pastikan.
Oh, pastikan Anda juga memverifikasi variabel GET/POST yang digunakan untuk mengirimkan artikel. Tidak perlu dikatakan lagi, dan verifikasi yang dilakukan perlu disesuaikan dengan apa yang dilakukan situs Anda dengan logikanya.
