Il y a deux fronts à considérer lors de l'acceptation du texte généré par l'utilisateur qui sera affiché plus tard.
Tout d'abord, vous devez protéger votre base de données contre les attaques par injection. Il existe une fonction PHP simple pour cela :mysql_real_escape_string() suffira généralement à protéger votre base de données contre l'injection lors de la transmission de cette chaîne à stocker en tant que valeur de champ.
À partir de là, vous devez faire attention à votre affichage, car un utilisateur autorisé à télécharger du code HTML peut faire des choses désagréables aux autres utilisateurs lorsque ce code s'affiche. Si vous faites des articles en clair, vous pouvez simplement htmlspecialchars() le texte obtenu. (vous souhaiterez probablement également convertir les retours à la ligne en balises
.) Si vous utilisez une solution de formatage, telle que le moteur Markdown utilisé sur ce site, ces solutions fourniront généralement un nettoyage HTML en fonction du moteur , mais assurez-vous de lire la documentation et assurez-vous.
Oh, assurez-vous de vérifier également vos variables GET/POST utilisées pour soumettre les articles. Cela va sans dire, et la vérification effectuée devra être adaptée à ce que fait votre site avec sa logique.
