html tags uit editor
Als je een editor als TinyMCE of CKeditor gebruikt, krijg je alle html tekens terug, hoe slaan jullie dit op in je database? gaat alles eerst terug naar bbcode? gaat het als html de database in?
hoe controleren jullie dat?
want ik vind het prima als iemand een kleurtje geeft, maar niet als hij er een script tag inplaatst..
Mensen die tekst moeten opmaken kunnen zich wel uit de voeten met UBB-codes.
Gewijzigd op 29/07/2011 23:06:52 door - Ariën -
Volgens mij was die er wel, maar ik kan even niet meer op de naam komen, anders schrijf ik hem zelf wel=P
http://php.net/manual/en/function.strip-tags.php
Met deze functie worden alle PHP en HTML tags uit een string gehaald, je kunt een optionele parameter meegeven waarmee je kunt zeggen welke tags er overgeslagen moeten worden.
Ik heb zelf een soort van CMS gemaakt, en laat de gebruikers gewoon via de editor dingen veranderen, daarna zet ik gewoon de plain HTML in de database. (wel met een beetje beveiliging natuurlijk.. :P)
Er is een ingebouwde PHP functie ja. Zie hier: Met deze functie worden alle PHP en HTML tags uit een string gehaald, je kunt een optionele parameter meegeven waarmee je kunt zeggen welke tags er overgeslagen moeten worden.
Ik heb zelf een soort van CMS gemaakt, en laat de gebruikers gewoon via de editor dingen veranderen, daarna zet ik gewoon de plain HTML in de database. (wel met een beetje beveiliging natuurlijk.. :P)
strip_tags, zoals Aar aangeeft. Het schijnt dat deze onmouseover XSS aanvallen niet tegen houdt ( http://htmlpurifier.org/comparison#striptags ). Een betere optie lijkt mij een XSS filter. Een goede is te vinden op http://htmlpurifier.org/
Okee bedankt!