お世話になります。
PHPを触り始めて、1ヶ月くらいのものです。
初心者向けの本を数冊経て、PHPでホームページに組み込むブログ機能を作っています。
wordPressなどを使うのも方法なのかもですが、PHPで他にしたいことがあり、勉強がてら行っています。
投稿内容をデータベースに格納したり、閲覧ページでデータベースから読み出したり、画像投稿や、ログイン機能など実現できたのですが、投稿画面にWYSIWYGエディタ?を付けたいと思い、NiceEditというものを設置してみました。
投稿画面では文字編集などができたのですが、閲覧するページでは、タグがそのまま出てきてしまいます。
htmlspecialcharsという関数で、無効化?しているので、もっともな結果と思いますが、htmlspecialcharsをしない選択肢はあるでしょうか?
条件として、投稿ページは、ログインした人しか行えません。WEBサイトの管理者側、数人のみの予定です。
データベースにログインIDやパスワードなどを格納して、一致したときだけログインできて、セッションで管理者(投稿者側)のページを推移する仕組みです。
将来的に、パスワードが流出などを考えると、投稿した内容そのままを表示するのは怖い気もしますが、文字の大きさを変えたり、文字色を変えたり、簡単なリンクを貼るくらいはできないものかと考えています。
特定のタグだけを許可したり、何か方法があるものでしょうか?XSS対策を考えると、リンクなども貼れないのが一般的でしょうか?または、ログインに関する部分を厳重にするなどになりますでしょうか?
セキュリティに関することなので、素人の試行錯誤よりお知恵を拝借できればと思い質問させていただきます。よろしくお願いします。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/12/19 06:09