|
|
|
| текст вместе с html тегами выводится на страницу, для предотвращения xss используется htmlspecialchars, но тогда все теги перестают работать, а как сделать, чтоб тэги работали и была защита от xss?
bbcode не предлагать! | |
|
|
|
|
|
|
|
для: Bvz
(02.05.2010 в 22:01)
| | Можно попробовать strip_tags с указанием тегов которые удалять не нужно | |
|
|
|
|
|
|
|
для: Gubichev
(02.05.2010 в 22:12)
| | но strip_tags не дает защиту от xss | |
|
|
|
|
|
|
|
для: Bvz
(02.05.2010 в 22:01)
| | Кто может добавлять тэги? Если администратор - то про какую xss мы говорим?
А если пользователь - то вводите bbcode, по-моему, это проще, чем выуживать допустимые html-тэги. | |
|
|
|
|
|
|
|
для: neadekvat
(02.05.2010 в 22:57)
| | в общем человек отправляет отзыв через форму, потом администратор редактирует и публикует ее | |
|
|
|
|
|
|
|
для: Bvz
(02.05.2010 в 23:02)
| | его, а не её.
И в чем проблема? Добавляете в бд текст "как есть", администратору в textarea, пропустив через htmlspecialchars(). Админ проверит на содержание плохих тегов и опубликует. Затем этот код можно выводить в чистый html. | |
|
|
|
|
|
|
|
для: neadekvat
(02.05.2010 в 23:08)
| | текст редактируется в tomymce редакторе | |
|
|
|
|
|
|
|
для: Bvz
(02.05.2010 в 23:11)
| | Так уберите его.
Или сделайте переключатель - сначал админ просмотрит в целом добавленный отзыв на наличие ненужных тэгов, а потом будет наводить марафет в tinymce.
Ну или пишите регулярку, которая не будет пускать скрипты, дивы и т.п. | |
|
|
|
|
|
|
|
для: neadekvat
(02.05.2010 в 23:16)
| | 1 а как сделать переключатель?
2 а какая регулярка? | |
|
|
|
|
|
|
|
для: Bvz
(02.05.2010 в 23:20)
| | Да хоть через get параметр передавать на каком шаге - просмотра или полнцоенного редактирования с редактором
А вот разбирайтесь и пишите =) Вы на этом сайте дольше меня сидите, а такие вещи спрашиваете, шоппц... | |
|
|
|
|
|
|
|
для: neadekvat
(02.05.2010 в 23:30)
| | спасибо! | |
|
|
|