Witam,
Zamierzam wstawić na swojej stronie edytor CKEditor. Wszystkie pola tekstowe formularzy przepuszczam przez funkcję strip_tags a potem mysql_real_escape_string. Co zrobić z danymi otrzymanymi z CKEditor? Usuwając tagi stracę to, do czego używam tego edytora czyli właśnie tagi. Jak jednak zabezpieczyć otrzymane dane? Nie usuwać żadnych tagów?
Pełna wersja: CKEditor - dane wysłane metodą $_POST
to gdzie Ty go chcesz wstawić? od strony admina czy użytkownika? jak od strony admina to zrób samo mysql_real_escape_string, jak od strony użytkownika to pytanie ile funkcji z tego edytora potrzebujesz, bo jak masz umożliwić użytkownikowi tylko z 4,5 funkcji takich jak pogrubienie, czcionka, kolor czcionki, rozmiar, to lepiej zrób BBcode
Od strony użytkownika. Chodzi mi o wstawianie obrazków, tworzenie list, tabel, odsyłaczy itp
Cytat(wiewiorek @ 9.05.2010, 14:32:15 ) 
Co innego gdyby taki formularz jest dostępny dla zwykłych użytkowników[/b] - wtedy oczywiście zapewne też bym pozwolił wpisywać w tym formularzu wszystko + mysqli_real_escape_string przed zapisem danych do bazy, tyle że potem przed wyświetleniem ich na stronie użyłbym htmlspecialchars lub ewentualnie strip_tags.
No tak tylko, że wtedy jak user umyślnie albo i nieświadomie wstawi kilka </div> to się strona rozsypie
Co do BBcode to chodziło mi, że wtedy bez edytora, albo edytor albo BBcode
//wiewiorek nie usuwaj postów bo potem nie wiadomo o co chodzi w rozmowie
Dam sobie spokój z bbcode. Czyli nie zostaje mi nic innego, jak w strip_tags wymienić kilkanaście dopuszczalnych tagów?
no tak by było najlepiej, albo wyciąć te nie dozwolone, bo jak wspomniałem , jeżeli ktoś wstawi </div> to strona może się rozlecieć
Chyba jednak zdecyduję się na tinyMCE. Podają gotowe rozwiązanie do filtrowania danych: http://wiki.moxiecode.com/index.php/TinyMCE:Security przy zastosowaniu klasy PHP Input Filter Class tu. Ktoś zna tą klasę?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.