後で表示されるユーザー生成のテキストを受け入れるときに考慮すべき2つの面があります。
まず、データベースをインジェクション攻撃から保護する必要があります。これには簡単なPHP関数があります: mysql_real_escape_string() 通常、この文字列をフィールド値として格納するために渡すときに、データベースをインジェクションから保護するのに十分です。
そこから、表示に注意する必要があります。HTMLコードのアップロードを許可されたユーザーは、他のユーザーに厄介なことをする可能性があるためです。 そのコードが表示されたとき。平文の記事を作成している場合は、 htmlspecialchars()> 結果のテキスト。 (おそらく、改行を
タグに変換することもできます。)このサイトで使用されているMarkdownエンジンなどのフォーマットソリューションを使用している場合、これらのソリューションは通常、エンジンの機能としてHTMLサニタイズを提供します。 、ただし、必ずドキュメントを読んで確認してください。
ああ、記事の送信に使用されたGET/POST変数も確認していることを確認してください。言うまでもなく、実行される検証は、サイトがそのロジックで実行していることに合わせて調整する必要があります。