Onun şu kötü bir fikir değil, ama neden bunu kaydetmek önce html doğrulamak Yüklü? Ya da sadece düz çirkin kötü değil mi? En editörler yani temiz bir ofis biçimlendirme var. Yoksa HTML girmeden izin veren bir bussiness gerekliliktir?

Ama iframe bunu yapmanın en güvenli yoldur, ben gitmek için bunu söylemek istiyorum!

Siz sadece ne Stack Overflow uses for profiles, answers, etc gibi Markdown için kullanıcıları sınırlayan düşünebilirsiniz.

Daha fazla okumak için, aşağıdaki kontrol etmek isteyebilirsiniz:

• Stack Overflow: “Safe” markdown processor for PHP?
• WMD: The Wysiwym Markdown Editor
• PHP Markdown
• Stack Overflow: running showdown.js serverside to conver Markdown to HTML (in PHP)

Bir çözüm "Tamam" olduğundan emin olmak için, HTML filtre olacaktır:

• Valid HTML
• Sadece izin vermek istediğiniz etiketleri içerdiğini
• Ve herhangi bir güvenlik sorununa neden olmaz.

Yapar harika bir araçtır HTMLPurifier (quoting):

HTML Purifier is a standards-compliant HTML filter library written in PHP. HTML Purifier will not only remove all malicious code (better known as XSS) with a thoroughly audited, secure yet permissive whitelist, it will also make sure your documents are standards compliant

HTML kullanıcı tarafından yazılan edildikten sonra, temelde, kendi veritabanına kaydetmeden önce, emin geçerli Neler yapacak, HTML Arıtma geçirin, ve {[olarak belirtmek vermedi herhangi bir etiket / özniteliğini kaldırmak istiyorum (0)]}.