| |
|
|
| | Добрый день! На днях закончил читать книгу "Объектно-ориентированное программирование на PHP".
Книга очень понравилась!
В ней авторы разработали небольшую CMS, которая позволяет создавать структуру сайта(разделы/статьи) и новостной блок.
Статьи добавляются следующим образом: сначала заполняется текст(html теги добавлять нельзя). Потом к нему можно добавить изображение.
Порядок вывода изображения и текста определяется разработчиком при создании видимой части сайта.
Такой подход кажется весьма защищенным, но сильно сужает свободу редактора статей.
Чтобы расширить свободу редактора, можно использовать WYSIWYG JavaScript генератор, например
http://tinymce.moxiecode.com/
Но тогда придется отображать сгенерированный html. Причем генератор также позволяет вставить свой html код.
Кто как считает: насколько использование WYSIWYG JavaScript генератора снижает безопасность приложения? | |
| |
|
|
| |
|
|
| |
для: Alexey_Tihonenko
(25.01.2010 в 10:55)
| | | совсем не снижает. что данные после WYSIWYG-редактора, что введенные в простое текстовое поле не обходимо проверять на сервере | |
| |
|
|
| |
|
|
| |
для: AlexSol
(25.01.2010 в 11:18)
| | | Просто с WYSIWYG-редактором появляется проблема: если обработать код htmlspecialchars, то отобразить его потом в отформатированном виде уже не получится насколько я понимаю. Т.е. для правильного отображения нужно сохранять код как есть.
Как эту проблему решить? | |
| |
|
|
| |
|
|
| |
для: Alexey_Tihonenko
(25.01.2010 в 11:57)
| | | А зачем теги фильтровать? Новости себе на сайт ты будешь добавлять... | |
| |
|
|
| |
|
|
| |
для: Alexey_Tihonenko
(25.01.2010 в 11:57)
| | | зачем html-код обрабатывать функцией htmlspecialchars() ?
Она предназначена не для этого. | |
| |
|
|
