CKEditor安全最佳实践

我在我建立的小型PHP/MySQL论坛中使用http://ckeditor.com/。我的问题：CKEditor安全最佳实践

在数据库中保存这样的用户创建的HTML是否安全，然后在我的应用程序中重新显示它？我应该采取哪些预防措施来保护我的论坛用户不受脚本注入等的影响？
```
<p>test</p> 
<span style="font-size: 14px;">test</span> 
```
使用BBCode代替HTML会更安全吗？我尝试了ckeditor bbcode插件，但它缺少一些基本的格式，如文本对齐...有谁知道如何扩展插件添加文本对齐到它？

2011-08-29 jpc

你在使用什么服务器端技术？ – Peter

只是php和mysql – jpc

假设ckeditor是脚本安全的，你的问题已经被ckeditor文档充分涵盖了。下次，请花更多精力来编写你的问题。 –

关于第一个问题，有你需要做两两件事：

安全保存用户的内容到你的数据库，这样，你是不是容易受到SQL注入攻击。看到这个问题如何最好地处理=>Best way to stop SQL Injection in PHP。
防止某人向您的数据库提交不安全的HTML，然后将其重新显示给您的用户，并使其容易受到XSS攻击。在这里有很多关于这个问题的问题。这里有一个=>XSS Prevention in PHP。

2011-08-29 12:14:40 Peter

但你认为保存html不是数据库中的bbcode好还是坏？ – jpc

我认为HTML是好的，如果你有一个好的消毒方法。 BBCode可能更安全一些......但我不知道如何让CKEditor BBCode插件按照你的意愿对齐文本。 – Peter

谢谢最后有人明白我在问什么。但是当我想将搜索查询发送到我保存纯HTML的表格时并不坏。 – jpc

回答