html tags uit editor
Victor -
29/07/2011 22:52:48Hallo,
Als je een editor als TinyMCE of CKeditor gebruikt, krijg je alle html tekens terug, hoe slaan jullie dit op in je database? gaat alles eerst terug naar bbcode? gaat het als html de database in?
hoe controleren jullie dat?
want ik vind het prima als iemand een kleurtje geeft, maar niet als hij er een script tag inplaatst..
Als je een editor als TinyMCE of CKeditor gebruikt, krijg je alle html tekens terug, hoe slaan jullie dit op in je database? gaat alles eerst terug naar bbcode? gaat het als html de database in?
hoe controleren jullie dat?
want ik vind het prima als iemand een kleurtje geeft, maar niet als hij er een script tag inplaatst..
PHP hulp
07/11/2024 11:51:20Daarom gebruik ik alleen CKeditor in de backend van mijn site, en geef ik leden nooit volledige HTML rechten. Op die manier is XXS makkelijk uit te voeren. Je kan ook script-tags gaan filteren met striptags enzo, maar dan moet je met een hoop factoren rekening gaan houden.
Mensen die tekst moeten opmaken kunnen zich wel uit de voeten met UBB-codes.
Mensen die tekst moeten opmaken kunnen zich wel uit de voeten met UBB-codes.
Gewijzigd op 29/07/2011 23:06:52 door - Ariën -
Victor -
29/07/2011 23:15:00heb je geen functie die alle html eruit filter behalve de tags die jij hebt aangegeven?
Volgens mij was die er wel, maar ik kan even niet meer op de naam komen, anders schrijf ik hem zelf wel=P
Volgens mij was die er wel, maar ik kan even niet meer op de naam komen, anders schrijf ik hem zelf wel=P
Bart Willemsen
29/07/2011 23:21:26Er is een ingebouwde PHP functie ja. Zie hier: http://php.net/manual/en/function.strip-tags.php
Met deze functie worden alle PHP en HTML tags uit een string gehaald, je kunt een optionele parameter meegeven waarmee je kunt zeggen welke tags er overgeslagen moeten worden.
Ik heb zelf een soort van CMS gemaakt, en laat de gebruikers gewoon via de editor dingen veranderen, daarna zet ik gewoon de plain HTML in de database. (wel met een beetje beveiliging natuurlijk.. :P)
Met deze functie worden alle PHP en HTML tags uit een string gehaald, je kunt een optionele parameter meegeven waarmee je kunt zeggen welke tags er overgeslagen moeten worden.
Ik heb zelf een soort van CMS gemaakt, en laat de gebruikers gewoon via de editor dingen veranderen, daarna zet ik gewoon de plain HTML in de database. (wel met een beetje beveiliging natuurlijk.. :P)
The Force
29/07/2011 23:35:16strip_tags, zoals Aar aangeeft. Het schijnt dat deze onmouseover XSS aanvallen niet tegen houdt ( http://htmlpurifier.org/comparison#striptags ). Een betere optie lijkt mij een XSS filter. Een goede is te vinden op http://htmlpurifier.org/