Có hai mặt trước cần xem xét khi chấp nhận văn bản do người dùng tạo mà sau này sẽ được hiển thị.
Trước hết, bạn cần bảo vệ cơ sở dữ liệu của mình khỏi các cuộc tấn công chèn ép. Có một hàm PHP đơn giản cho việc này: mysql_real_escape_string () thường sẽ đủ để bảo vệ cơ sở dữ liệu của bạn khỏi bị chèn khi truyền chuỗi này vào để lưu trữ dưới dạng giá trị trường.
Từ đó, bạn phải cẩn thận về màn hình của mình, vì người dùng được phép tải lên mã HTML có thể làm những điều khó chịu với người dùng khác khi mã đó được hiển thị. Nếu bạn đang thực hiện các bài viết rõ ràng, bạn có thể chỉ cần htmlspecialchars () văn bản kết quả. (Bạn cũng có thể muốn chuyển đổi dòng mới thành thẻ
.) Nếu bạn đang sử dụng giải pháp định dạng, chẳng hạn như công cụ Markdown được sử dụng trên trang web này, những giải pháp đó thường sẽ cung cấp tính năng làm sạch HTML như một chức năng của công cụ , nhưng hãy nhớ đọc tài liệu và đảm bảo.
Ồ, hãy đảm bảo rằng bạn cũng đang xác minh các biến GET / POST được sử dụng để gửi bài viết. Điều đó không cần phải nói và xác minh được thực hiện sẽ cần được điều chỉnh cho phù hợp với những gì trang web của bạn đang làm với logic của nó.