Vermeiden XSS mit BBCode Eingabe und HTML-Ausgabe

Question

Ich arbeite derzeit auf einer Website, wo Benutzer Artikel mit wenigen Formatmöglichkeiten (wie fett, kursiv, Liste ...) schreiben können. Ich benutze ein Framework: CodeIgniter.

Ich bin ein Anfänger, und ich habe einiges über XSS gehört. Ich würde gerne wissen, was Sie über meine Umsetzung denken. Ich habe dieses Thema gelesen: What's the best method for sanitizing user input with PHP?

1) Der Benutzer schreiben seinen Artikel, formatieren Sie es mit BBCode. Ich benutze SCEditor.

2) Wenn ich es in der Datenbank speichere, benutze ich htmlspecialchars(), um verdächtige HTML-Tags zu filtern. Soll ich das tun, wenn ich Daten speichere oder Daten zeige?

3) Wenn ich den Artikel auf der Website anzeigen möchte (für andere Zwecke zum Beispiel), konvertiere ich BBCode-Tags in HTML-Tags.

Ist es ein richtiger Weg? Vermeide ich XSS?

Ich bin offen für Vorschläge und Ratschläge.

Vielen Dank für Ihre Antworten

Answer 1

Codeigniter zur Validierung hat eine Eigenschaft xss, die alle diejenigen Mitarbeiter

$this->form_validation->set_rules('username', 'Username', 'trim|required|min_length[5]|max_length[12]|xss_clean'); 

Check-out Formularvalidierung Codeigniter tun:

http://ellislab.com/codeigniter/user-guide/libraries/form_validation.html

Answer 2

I „finden und ersetzen "mit PHP, ich denke nicht, dass es die effizienteste Art ist, es zu tun.

<?php 
    $malicious = "<script>alert(1)</script>"; 
    $malicious = str_ireplace("<", "", $malicious); 
    $malicious = str_ireplace(">", "", $malicious); 
    echo $malicious; 
?> 

Answer 3

<?php 
$malicious = "<script>alert(1)</script>"; 
$malicious = strip_tags($malicious); 
$malicious = htmlentities($malicious, ENT_QUOTES); 
echo $malicious; 
?>