उपयोगकर्ता द्वारा जेनरेट किए गए टेक्स्ट को स्वीकार करते समय विचार करने के लिए दो मोर्च हैं जिन्हें बाद में प्रदर्शित किया जाएगा।
सबसे पहले, आपको इंजेक्शन हमलों से अपने डेटाबेस की रक्षा करने की आवश्यकता है। इसके लिए एक सरल PHP फ़ंक्शन है: mysql_real_escape_string() फ़ील्ड मान के रूप में स्टोर करने के लिए इस स्ट्रिंग को पास करते समय आमतौर पर इंजेक्शन से अपने डेटाबेस की सुरक्षा के लिए पर्याप्त होगा।
वहां से, आपको अपने प्रदर्शन के बारे में सावधान रहना होगा, क्योंकि उपयोगकर्ता को HTML कोड अपलोड करने की अनुमति है, अन्य उपयोगकर्ताओं को पर उस कोड को प्रदर्शित होने पर बुरा काम कर सकता है। यदि आप सादे टेक्स्ट लेख कर रहे हैं, तो आप परिणामस्वरूप पाठ htmlspecialchars() कर सकते हैं। (आप शायद न्यूलाइन को
टैग में कनवर्ट करना चाहते हैं।) यदि आप इस साइट पर इस्तेमाल किए गए मार्कडाउन इंजन जैसे फॉर्मेटिंग समाधान का उपयोग कर रहे हैं, तो वे समाधान आमतौर पर इंजन के फ़ंक्शन के रूप में HTML स्वच्छता प्रदान करेंगे, लेकिन हो दस्तावेज पढ़ने और सुनिश्चित करने के लिए सुनिश्चित करें।
ओह, सुनिश्चित करें कि आप लेख सबमिट करने के लिए उपयोग किए गए अपने जीईटी/पोस्ट वैरिएबल को भी सत्यापित कर रहे हैं। यह कहने के बिना चला जाता है, और किए गए सत्यापन को आपकी साइट के तर्क के साथ क्या किया जा रहा है इसके अनुरूप होने की आवश्यकता होगी।
स्रोत
2010-03-26 01:17:43
प्रस्तुत करने का कहना है की सुविधा देता है लोगों के नाम, सामग्री आदि जैसे डेटा। – pHp