我有一个网站将数据保存到MySQL数据库
我将它插入MySQL或在我的网站上显示时是否应该转义HTML?
理想情况下,我想将原始HTML输入到我的数据库中,每次从中取出时都要进行消毒 . 这样做有什么危险吗?
示例html: <h1>test</h1>
<h1>test</h1>
通常用户不会保存HTML,但我不希望它们受到限制 . 当然,HTML不会被执行 . 它将被显示我是否应该在将HTML插入MySQL或在我的网站上显示时转义HTML?
那么你没有HTML开头 . 你有纯文本 .
转义要在HTML中注入的纯文本是一种快速操作,除非我们对它进行缓存是有意义的 . 如果在保存之前将纯文本转换为HTML,则不再具有原始文本,并且您不得不撤消编码,只是为了不在HTML上下文中使用它(例如,将其放在JavaScript变量中或将其用作e邮件主题) .
1 回答
那么你没有HTML开头 . 你有纯文本 .
转义要在HTML中注入的纯文本是一种快速操作,除非我们对它进行缓存是有意义的 . 如果在保存之前将纯文本转换为HTML,则不再具有原始文本,并且您不得不撤消编码,只是为了不在HTML上下文中使用它(例如,将其放在JavaScript变量中或将其用作e邮件主题) .