Форум PHP программистов > Безопасное хранение HTML в MySQL

[ Поиск ] - [ Пользователи ] - [ Календарь ]

Полная Версия: Безопасное хранение HTML в MySQL

kollega

27.02.2011 - 21:16

Здравствуйте. У меня такая ситуация. На своем сайте я пользуюсь визуальным редактором TinyMCE. И мне необходимо сохранять текст из редактора в базу данных, но так, чтобы при выводе этой информации не работали вредоносные скрипты.
Вопросы:
1) Это реально? И если да, то как осуществить?
2) Ну и для того, чтобы не создавать вторую тему спрошу тут: а что лучше и безопаснее? использовать BB-code как тут на форуме или визуальный редактор?

Спустя 4 минуты, 12 секунд (27.02.2011 - 20:20) Snus написал(а):

kollega

htmlspecialchars()

Спустя 16 минут, 10 секунд (27.02.2011 - 20:36) Sopromatenot написал(а):

Цитата (kollega @ 27.02.2011 - 17:16)

BB коды и создавались для обеспечения безопасности (ну и ещё для упрощения разметки).
Я думаю стоит посмотреть как это реализуют другие люди:

http://irbis-team.com/15/6/1

Спустя 1 час, 50 минут, 24 секунды (27.02.2011 - 22:27) Zerstoren написал(а):

А что может быть реально вредного при передаче?

iframe, h*, script, style

Вот зачистите все, и если все сделано правильно попробуйте выложить и внимательно следите за поступающими данными.

Но как по мне тег <pre> решает проблему форматирования, а если нужны стили то безопасный только BB code

Спустя 12 часов, 54 минуты, 25 секунд (28.02.2011 - 11:21) vagrand написал(а):

Цитата

Да ну, а при помощи тега img сколько всего интересного можно сделать

Спустя 25 минут, 43 секунды (28.02.2011 - 11:47) Zerstoren написал(а):

Ну изымайте еще и картинки.
Пользователю наф не нужен полный редактор типа tiny_mce или FKeditor

Они должны находится в админке, не более.

Юзайте <pre>
либо

nl2br(str_replace(' ','&nbsp;',$str));

для форматирования текста, этого хватит.

Быстрый ответ:

Здесь расположена полная версия этой страницы.