Ben kullanıcı girişi ile ilgili hakkında mükemmel soruları ve cevapları bugün bir dizi bir okudum. Ben şimdi oluşturmak / düzenlemek formlarda kullanıcı verilerini görüntülemek için () htmlspecialchars kullanarak (ama benim veritabanına hazırlanmış PDO tablolar üzerinden ham girişini kabul) ediyorum.

Ben biliyorum asıl soru kullanıcı daha sonra kamuoyuna gösterilecektir HTML göndermek için izin ne zaman ne yaparsınız, olduğunu. Açıkçası sadece etiketleri kodlar ve amaç için yararsız içeriği işler olarak () artık uygundur htmlspecialchars.

Benim uygulama, şu anda ürün açıklamaları için bir yönetici den HTML kabul edilir. Bu kötü niyetli bir yönetici kamu bakan sayfaları güvensiz veri enjekte için izin verecek.

İnsanlar nasıl bu başa çıkıyorsunuz?