Question

На самом деле мой вопрос больше связан с очисткой html на стороне сервера, которая принимается через компонент формы WYSIWYG. Прямо сейчас я склоняюсь к использованию библиотеки htmlpurifier.org. Я использую функцию php strip_tags () в другом месте. У кого-нибудь есть совет / предпочтения / рекомендации?

troelskn · Answer 1 · 20 января 2009

strip_tags очень уязвим - вы также можете ничего не делать. HtmlPurifier, вероятно, так же хорош, как и при html-очистке. Если вы действительно серьезно относитесь к безопасности, вам, вероятно, следует полностью запретить ввод html, но я понимаю, что это не всегда вариант.

Evan Fosmark · Answer 2 · 20 января 2009

Не забудьте удалить атрибуты on*, такие как <p onclick="alert('hi!');">. Это может вызвать некоторые проблемы.

WYSIWYG textarea компонент безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

WYSIWYG textarea компонент безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы