У меня есть веб-сайт, который сохраняет данные в базу данных MySQL.
Должен ли я экранировать HTML при вставке его в MySQL или при отображении на моем веб-сайте?
В идеале я хотел бы вводить необработанный HTML в свою базу данных и просто очищать каждый раз, когда я извлекаю из него. Есть ли какая-то опасность в том, чтобы сделать это таким образом?
Пример html:<h1>test</h1>
<a href="http://example.com">Click me</a>
и вы манипулируете им, вы, вероятно, сломаете его. Если у вас естьBarnes & Noble
и вам нужно преобразовать его вBarnes & Noble
для отображения на веб-сайте, это, в первую очередь, потому, что у вас нет HTML. (Термин sanitizacion — одна из моих любимых мозолей. Он подразумевает, что некоторые строки плохие по своей природе, но вы можете применить к ним какую-то магическую функцию и сделать их безопасными для любых целей.) - person Álvaro González   schedule 09.02.2017<h1>test</h1>
) на странице, а не видеть заголовок сtest
крупным шрифтом? - person Álvaro González   schedule 09.02.2017