如何安全地在数据库中存储含链接的富文本（HTML 片段）

霞舞

发布时间：2026-03-12 12:32:34

522人浏览过

来源于php中文网

原创

如何安全地在数据库中存储含链接的富文本（html 片段）

本文介绍如何在数据库中安全存储用户输入的含超链接（）和换行（）的 HTML 文本，重点解决 & 等 HTML 实体编码引发的解码失败问题，并提供前后端协同处理的可靠方案。

本文介绍如何在数据库中安全存储用户输入的含超链接（``）和换行（`
`）的 HTML 文本，重点解决 `&` 等 HTML 实体编码引发的解码失败问题，并提供前后端协同处理的可靠方案。

在 Web 应用中，常需将富文本描述（如带链接的说明文字）存入数据库并原样渲染。典型场景是：前端允许用户输入含换行与手动插入的 <a href="https://www.php.cn/link/263b1243ca2dbeb358777ceabc4a2e4c"> 链接，后端需持久化该 HTML 片段，再在页面中安全还原显示。</a>

⚠️ 注意：切勿直接对 HTML 字符串使用 btoa()/atob() 进行 Base64 编解码——因为 HTML 中的 &、<、" 等实体在 btoa() 前若未经标准化处理，会导致字节序列不合法，触发 DOMException: Failed to execute 'atob' 错误。根本原因在于 btoa() 仅接受 UTF-8 编码下的 ASCII 子集（U+0000–U+00FF），而未转义的 & 符号本身虽合法，但 & 是多字节字符串，在编码/解码链中极易错位。

✅ 推荐方案：语义化替换 + 存储净化，而非盲目编码

人民网AIGC-X

国内科研机构联合推出的AI生成内容检测工具

下载

立即学习“前端免费学习笔记（深入）”；

入库前：统一转义关键实体（推荐）
若业务仅需支持
和标签，建议在服务端（如 Node.js/Python/PHP）或强校验的前端环节，将原始 HTML 中的 & 替换为 &，同时确保其他危险字符（如）也被正确转义（除非你明确启用 HTML 渲染且已做 XSS 过滤）。例如：

// 前端提交前预处理（仅当确定后端不处理转义时）
function sanitizeForStorage(html) {
  return html
    .replace(/&/g, '&')      // 必须最先处理：防止 & 被二次转义
    .replace(/</g, '<')
    .replace(/>/g, '>')
    .replace(/"/g, '"');
}

// 示例
const rawInput = 'Visit https://example.com?a=1&b=2 and <a href="https://test.com?x=1&y=2">click me</a>';
const safeHtml = sanitizeForStorage(rawInput);
// → "Visit https://example.com?a=1&b=2 and <a href="https://test.com?x=1&y=2">click me</a>"

出库后：安全渲染（服务端或客户端）
- 若在服务端模板（如 EJS、Jinja2）中输出，使用 {{ variable | safe }} 或等效机制；
- 若在前端用 innerHTML 渲染，务必确认内容已通过上述净化流程，且不含 <script>、onerror 等执行性标签（本例因仅允许 <br>/<a>，可配合白名单正则进一步过滤）：</script>

// 简单白名单校验（生产环境建议用 DOMPurify 等专业库）
function allowOnlyBrAndA(html) {
  const temp = document.createElement('div');
  temp.innerHTML = html;
  const walker = document.createTreeWalker(
    temp,
    NodeFilter.SHOW_ELEMENT,
    {
      acceptNode: (node) => 
        node.tagName === 'BR' || node.tagName === 'A' ? NodeFilter.FILTER_ACCEPT : NodeFilter.FILTER_REJECT
    }
  );
  return temp.innerHTML;
}

替代思路：存储 Markdown，渲染时转换
更健壮的做法是要求用户输入 Markdown（如 [click me](https://https://www.php.cn/link/263b1243ca2dbeb358777ceabc4a2e4c)），后端存为纯文本，读取时用 marked / markdown-it 渲染为 HTML 并自动处理 URL 编码，天然规避 & 解析歧义。

? 关键总结：

btoa()/atob() 不适用于含 HTML 实体的字符串，应避免用于此场景；
& 必须优先转义为 &，否则 & 会被误解析为 & + amp;，破坏链接结构；
数据库字段类型建议使用 TEXT（MySQL/PostgreSQL）或 CLOB（Oracle），避免长度截断；
永远假设用户输入不可信——即使只允许
和，也需验证 href 是否以 http:// 或 https:// 开头，拒绝 javascript: 伪协议。

通过语义化转义与白名单控制，即可在保障安全性的同时，精准支持带参数链接的富文本存储与展示。

HTML速学教程(入门课程)

HTML怎么学习？HTML怎么入门？HTML在哪学？HTML怎么学才快？不用担心，这里为大家提供了HTML速学教程(入门课程)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

mysql修改数据表名

MySQL修改数据表：1、首先查看数据库中所有的表，代码为：‘SHOW TABLES；’；2、修改表名，代码为：‘ALTER TABLE 旧表名 RENAME [TO] 新表名；’。php中文网还提供MySQL的相关下载、相关课程等内容，供大家免费下载使用。

686

2023.06.20

MySQL创建存储过程

存储程序可以分为存储过程和函数，MySQL中创建存储过程和函数使用的语句分别为CREATE PROCEDURE和CREATE FUNCTION。使用CALL语句调用存储过程智能用输出变量返回值。函数可以从语句外调用(通过引用函数名)，也能返回标量值。存储过程也可以调用其他存储过程。php中文网还提供MySQL创建存储过程的相关下载、相关课程等内容，供大家免费下载使用。

513

2023.06.21

mongodb和mysql的区别

mongodb和mysql的区别：1、数据模型；2、查询语言；3、扩展性和性能；4、可靠性。本专题为大家提供mongodb和mysql的区别的相关的文章、下载、课程内容，供大家免费下载体验。

287

2023.07.18

mysql密码忘了怎么查看

MySQL是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一，在 WEB 应用方面，MySQL是最好的 RDBMS 应用软件之一。那么mysql密码忘了怎么办呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

519

2023.07.19

mysql创建数据库

MySQL是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一，在 WEB 应用方面，MySQL是最好的 RDBMS 应用软件之一。那么mysql怎么创建数据库呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

267

2023.07.25

mysql默认事务隔离级别

MySQL是一种广泛使用的关系型数据库管理系统，它支持事务处理。事务是一组数据库操作，它们作为一个逻辑单元被一起执行。为了保证事务的一致性和隔离性，MySQL提供了不同的事务隔离级别。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

392

2023.08.08

sqlserver和mysql区别

SQL Server和MySQL是两种广泛使用的关系型数据库管理系统。它们具有相似的功能和用途，但在某些方面存在一些显著的区别。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

542

2023.08.11

mysql忘记密码

MySQL是一种关系型数据库管理系统，关系数据库将数据保存在不同的表中，而不是将所有数据放在一个大仓库内，这样就增加了速度并提高了灵活性。那么忘记mysql密码我们该怎么解决呢？php中文网给大家带来了相关的教程以及其他关于mysql的文章，欢迎大家前来学习阅读。

668

2023.08.14

C# ASP.NET Core微服务架构与API网关实践

本专题围绕 C# 在现代后端架构中的微服务实践展开，系统讲解基于 ASP.NET Core 构建可扩展服务体系的核心方法。内容涵盖服务拆分策略、RESTful API 设计、服务间通信、API 网关统一入口管理以及服务治理机制。通过真实项目案例，帮助开发者掌握构建高可用微服务系统的关键技术，提高系统的可扩展性与维护效率。

2026.03.11

热门下载

网站特效

网站源码

网站素材

前端模板