CKEditor安全最佳實踐

我在我建立的小型PHP/MySQL論壇中使用http://ckeditor.com/。我的問題：CKEditor安全最佳實踐

在數據庫中保存這樣的用戶創建的HTML是否安全，然後在我的應用程序中重新顯示它？我應該採取哪些預防措施來保護我的論壇用戶不受腳本注入等的影響？
```
<p>test</p> 
<span style="font-size: 14px;">test</span> 
```
使用BBCode代替HTML會更安全嗎？我嘗試了ckeditor bbcode插件，但它缺少一些基本的格式，如文本對齊...有誰知道如何擴展插件添加文本對齊到它？

2011-08-29 jpc

你在使用什麼服務器端技術？ – Peter

只是php和mysql – jpc

假設ckeditor是腳本安全的，你的問題已經被ckeditor文檔充分涵蓋了。下次，請花更多精力來編寫你的問題。 –

關於第一個問題，有你需要做兩兩件事：

安全保存用戶的內容到你的數據庫，這樣，你是不是容易受到SQL注入攻擊。看到這個問題如何最好地處理=>Best way to stop SQL Injection in PHP。
防止某人向您的數據庫提交不安全的HTML，然後將其重新顯示給您的用戶，並使其容易受到XSS攻擊。在這裏有很多關於這個問題的問題。這裏有一個=>XSS Prevention in PHP。

2011-08-29 12:14:40 Peter

但你認爲保存html不是數據庫中的bbcode好還是壞？ – jpc

我認爲HTML是好的，如果你有一個好的消毒方法。 BBCode可能更安全一些......但我不知道如何讓CKEditor BBCode插件按照你的意願對齊文本。 – Peter

謝謝最後有人明白我在問什麼。但是當我想將搜索查詢發送到我保存純HTML的表格時並不壞。 – jpc

回答