我打算在我的網頁上使用Markdown syntax。我會保持用戶輸入(原始,不轉義或其他)在數據庫中,然後像往常一樣打印出來並與htmlspecialchars()一起飛行。逃離維護Markdown語法的XSS漏洞?
這是怎麼可能看起來:
echo markdown(htmlspecialchars($content));
通過這樣做,我免受XSS漏洞和降價的作品。或者,至少,有點工作。
問題是,比如說,>
語法(我認爲還有其他情況)。
總之,引用你做這樣的事情:
> This is my quote.
逃逸和解析,以降價後,我得到這樣的:
> This is my quote.
當然,降價解析器做不承認>
作爲「報價符號」,它確實不是工作! :(
我來這裏是爲了尋求解決這一問題的一個想法是:。
首先,解析到降價, - 然後用HTML Purifier刪除「壞零件」
你怎麼看呢?難道真的有效麼?
我敢肯定,有人有相同的情況,一來可以幫助我。:)
非常感謝! :) [This](http://stackoverflow.com/a/1226814/458610)也對我很有幫助! :) – daGrevis 2012-03-08 20:39:12