我在我建立的一个小型
PHP / MySQL论坛中使用
http://ckeditor.com/.我的问题：

>在数据库中保存用户创建的HTML,然后在我的应用程序中重新显示它是否安全？我应该采取什么预防措施来保护论坛用户免受脚本注入等的影响？

<p>test</p>
<span style="font-size: 14px;">test</span>

>使用BBCode而不是HTML会更安全吗？我尝试了ckeditor bbcode插件,但它缺少一些基本的格式,如文本对齐…有谁知道如何扩展插件添加文本对齐？

最佳答案 对于您的第一个问题,您需要做两件事：

>安全地将用户内容保存到数据库中,这样您就不会受到SQL注入攻击.请参阅此SO问题,了解如何最好地处理=>> Best way to stop SQL Injection in PHP.
>防止有人向您的数据库提交不安全的HTML,然后将其重新显示给您的用户并使他们容易受到XSS攻击. SO上有很多问题需要解决.这是一个=> XSS Prevention in PHP.