показать HTML-теги в шаблоне - Symfony и CKEDITOR. как безопасность?

Question

Я использую Symfony 1.4 и Doctrine 1.2. Я установил плагин http://www.symfony -project.org / plugins / sfCkPlugin если я добавляю чистые данные из формы, это работает нормально, но в шаблоне это показывает мне, например:

<p><b>bold</b> <i>test</i></p>

и т.д.

вместо

жирный тест

Я должен кое-что добавить сюда: getDesc ()?>, Но что?

В базе данных MySQL у меня есть:

<p> <strong>bold</strong> <u>test</u></p> 

это безопасность?

Answer 1

Это происходит из-за выхода escaper в symfony.

Вы можете исправить это, вызвав getRawValue () для данных:

$obj->getDesc()->getRawValue();

Имейте в виду, что если вы сделаете это, вам нужно убедиться, что введенный html / javascript / что-либо еще безопасно для вывода на странице. Если это происходит от бэкэнда, вы, вероятно, в порядке. Но если это исходит от конечных пользователей, вы должны убедиться, что вы делаете это безопасно (блокируйте атаки XSS, предотвращайте html, который нарушает макет и т. Д.). Это большая тема!