我有一个具有contenteditable的简单div,我想在不使用HTML的情况下存储其值,但保留换行符,因此我使用的是innerText。
[问题:可以直接将其保存在数据库中还是可以将其保存为“ urlencoded”还是存储之前的内容?
现在立即保存并在检索时通过htmlspecialchars和Purify运行内容,以防万一。这样很好还是有更安全/更有效的方法呢?
是的,这很好。数据应按用户输入存储在数据库中。插入数据库时,出于安全原因,无需修改数据。
当插入数据库时,您需要记住不要将任何变量输入直接放在SQL中。您必须始终使用参数化的预处理语句。例如,它们由PDO提供。
输出数据时,您需要为呈现数据的介质进行编码。如果以HTML显示数据,则需要使用htmlspecialchars()进行编码。如果将数据放在URL中,则需要使用htmlspecialchars()进行编码。