TinyMCE - Er den en risiko for sikkerhet?

[Thomas Pedersen]

$string=$_POST['navn_paa_textarea'];
$string = _strip_javascript($string);
$string = _strip_attributes($string);

# lagre eller echo $string

Noe slikt burde fungere.

 

[Mr Vest]

Ja, nå var det andre boller ja. Det var meg som rotet i stad. Jeg tenkte (av en rar grunn) at disse funksjonene ble kjørt gjennom bare jeg la dem inn i koden jeg. Takk skal du ha så mye nextri. Skikkelig kult av deg!

 

[skogtrollet]

Som sagt over her, så er TinyMCE kun en WYSIWYG-editor som gjør om input-text til html.. Den har som og sagt, ingenting med sikkerheten å gjøre.. Det er bare et verktøy..

Så ja, sikkerhetensrisikoen ligger ikke i tinymce men, i textarean og det er her du må sjekke for sikkerhet om du vil ha noe da..


og dersom du er redd for hva personer kan få for seg å skrive så kan du f.eks bruke deg av funksjonen str_replace

dersom noen skriver "pikk" så kan du endre output'n til p**k

$textarea = str_replace("pikk", "p**k", $teaxtarea);

Blir mye arbeid å sitte og tenke ut alle stygge ord da men..

Hva om

$textarea = "PIKK"

Gjør alt om til småe bokstaver først.

 

[olafmoriarty]

Problemet med å gjøre om all teksten til små bokstaver er vel at all teksten blir gjort om til små bokstaver. De fleste slike tekster er vel en blanding av små og store bokstaver, og det er ikke bare enkelt å endre den tilbake igjen før output. Da er det bedre å bare bruke stri_replace() med en gang.

Uansett liker jeg ikke den replacen der, fordi den lett gjør at man får output av typen «Jeg liker å sp**ke seljefløyter».