1
我有一个输入字段,它允许用户输入保存到数据库中的数据;在很少的用法中,用户可以放入HTML。将HTML保存到数据库并输出的最佳实践
将数据保存到数据库时,最佳做法是将值(可能包括html)转义/编码?或保存为它并在输出期间对其进行编码?
编辑:只是想看看如果大多数人都同意,编码的文本存储在数据库是由该article
A
回答
0
它总是好的,以逃避解释一个坏主意,将它们放入/前编码用户输入您的数据库,否则您可能会将系统暴露给SQL注入(即,如果您正在使用任何SQL DB)。
0
转义html特定字符是一种标准做法。您可以使用StringEscapeUtils从Apache Commons Lang
简单的例子:
String htmlStr = "<h1>Hi</h1>"
StringEscapeUtils.escapeHtml(htmlStr);
这将编码字符串作为<h1>Hi</h1>
相关问题
- 1. 保存html的最佳实践决定?
- 2. 将数据从数据库输出到浏览器时的最佳实践
- 3. 数据库最佳实践
- 4. 在SQL数据库上保存Json的最佳实践
- 5. 最佳实践如何在数据库列中存储HTML
- 6. 将数据保存为抽象类的最佳实践
- 7. 最佳实践:Phonegap Sencha Touch 2并保存登录数据
- 8. 将SQL域存储在SQL数据库中的最佳实践?
- 9. 将Lucene存储库与源数据同步的最佳实践?
- 10. 最佳实践/ MariaDB的数据库
- 11. 类和数据库的最佳实践
- 12. 版本数据库的最佳实践
- 13. 将数据从服务传输到活动的最佳实践
- 14. 存储数据的最佳实践
- 15. 将文件上传到数据库的最佳实践
- 16. 将数据库和XML映射到对象的最佳实践
- 17. 将大型数据库加载到UITableView中的最佳实践
- 18. 将数据存储到Cloudant DB中的最佳实践
- 19. 解析XML并将其存储在SQL Server数据库中的最佳实践
- 20. 最佳实践从数据库
- 21. Sqlite数据库连接最佳实践
- 22. 数据库部署最佳实践
- 23. 最佳实践数据库设计
- 24. 最佳实践:数据库引用表
- 25. Yii2数据库架构最佳实践
- 26. 使用数据库最佳实践?
- 27. Android数据库最佳实践
- 28. 数据库ID最佳实践
- 29. 数据库连接最佳实践
- 30. 数据库最佳实践 - 状态
更多的间隙,你可以分享你还没有尝试过。 –
这里有两个问题。首先是由于不可信用户输入导致的SQL注入;其次是显示内容时的XSS。等待解决这两个问题的答案。 – jww