Séquence d'actions correcte lors de l'utilisation de Markdown & MySQL?

Question

Je veux que mes utilisateurs puissent écrire un article dans Markdown, l'avoir stocké dans la base de données MySQL (avec la possibilité de le modifier dans le futur), et affiché pour les autres utilisateurs.

En pratique, cela est ma compréhension de la façon dont cela fonctionne:

ENTRÉE

entrée
2. utilisateur via le formulaire HTML en utilisant la syntaxe Markdown
3. $queryInput = mysql_real_escape_string($userInput);
4. insert chaîne assainie dans la base de données

SORTIE

1. champ de requête de base de données
2. $output = Markdown($queryResult);
3. affichage $output

est-ce pas? Est-ce que PHP Markdown exclut la nécessité de htmlspecialchars ou Pure HTML?

Merci!

Answer 1

J'ai évalué l'utilisation de markdown dans PHP il y a quelques semaines (et j'ai décidé de ne pas l'utiliser, d'ailleurs). Mes pensées:

• Il pourrait ne pas être une bonne idée d'exécuter l'analyseur démarquage à chaque fois que la sortie est rendu - l'analyse du commentaire est assez cher et le commentaire de blog d'habitude (comme exemple) est beaucoup plus souvent lu que écrit. Vous devez exécuter l'analyseur de démarquage AVANT d'enregistrer l'entrée de l'utilisateur dans la base de données!

• Maintenant, le problème vraiment difficile: Markdown ne fait aucun contrôle de sécurité par lui-même. Toutes les attaques xss sont heureusement passées. Si vous pensez maintenant "pas de problème, je vais juste strip_tags juste après l'entrée de l'utilisateur", détrompez-vous: il est tout à fait possible que markdown crée les balises contenant le XSS lors du traitement de l'entrée utilisateur. Donc, vous devez vérifier le code HTML créé par markdown pour les problèmes de sécurité - une tâche très difficile qui est très sujet aux erreurs. (Ce fut la raison de ne pas l'utiliser dans mon cas - le bénéfice n'avait pas un bon rapport aux coûts potentiels)