php - 如何安全地允许嵌入内容？

Question

我经营着一个我自己编写的网站(有点像社交网络)。我允许成员互相发送评论。在评论中；我接受评论，然后在将其保存在 db 之前调用此行..

$com = htmlentities($com);

当我想显示它时；我称这段代码为..

$com = html_entity_decode($com);

这在大多数情况下都很有效。它允许用户复制/粘贴 youtube/imeem 嵌入代码并互相发送视频和歌曲。它还允许他们将图像上传到 photobucket 并复制/粘贴嵌入代码以发送图片评论。

我遇到的问题是，有些人基本上也在那里输入 javascript 代码，这些代码往往会做一些令人讨厌的事情，例如打开警告框、更改网页位置等等。我正在努力寻找一个好的一劳永逸地解决这个问题的解决方案。其他网站如何允许这种功能？

感谢您的反馈

Answer 1

第一个:htmlentities或者只是 htmlspecialchars应该用于转义嵌入到 HTML 中的字符串。当您将它们插入到 SQL 查询中时，您不应该使用它来转义字符串 - 使用 mysql_real_escape_string (对于 MySql)或更好 - 使用 prepared statements , 具有绑定(bind)参数。当您手动转义字符串时，请确保关闭或禁用 magic_quotes。

第二:当你再次拉出字符串时，你不会取消转义字符串。例如。没有 mysql_real_unescape_string。而且你也不应该使用 stripslashes - 如果你发现你需要，那么你可能已经打开了 magic_quotes - 而是关闭它们，并在继续之前修复数据库中的数据。

第三:您对 html_entity_decode 所做的操作完全抵消了 htmlentities 的预期用途。现在，您完全无法防止恶意用户将代码注入(inject)您的站点(您很容易受到跨站点脚本攻击，也就是 XSS)。嵌入到 HTML 上下文中的字符串应使用 htmlspecialchars 进行转义(或 htmlentities)。如果您绝对必须将 HTML 嵌入到您的页面中，则必须先通过清理解决方案运行它。 strip_tags这样做 - 在理论上 - 但在实践中这是非常不充分的。我目前知道的最佳解决方案是 HtmlPurifier .但是，无论您做什么，让随机用户将代码嵌入到您的站点始终是一种风险。如果可能，请尝试将您的应用程序设计为不需要它。