| |
|
|
| | Точно не знаю куда отнести этот вопрос (к PHP тоже непосредственное отношение имеет...) но всё же.
Использую визивиг редактор TinyMce. Интересует вопрос безопасности. При сохранении данных в базу фактически они не обрабатываются (или как-то можно?). Я так думаю, из-за этого возникает большая дыра. Как обрабатывать данные, пришедшие с редактора?
И второй вопрос: применять htmlspecialchar() нужно перед сохранением в БД или после выборки из неё значения до того как выведутся в браузер? | |
| |
|
|
| |
|
|
| |
для: kssnick
(13.11.2007 в 21:02)
| | | Применять htmlspecialchar() перед выводом в браузер. В базе данные хранятся в первоначальной форме. | |
| |
|
|
| |
|
|
| |
для: kssnick
(13.11.2007 в 21:02)
| | | >Как обрабатывать данные, пришедшие с редактора?
Как и обычные данные. ТиниМЦЕ генерить простой html. Ну и работайте с ним как с html! | |
| |
|
|
| |
|
|
| |
для: SHAman
(14.11.2007 в 12:19)
| | | А там же могут быть и кавычки... Т.е. потенциальная дыра через инъекцию. Так? | |
| |
|
|
| |
|
|
| |
для: kssnick
(14.11.2007 в 21:06)
| | | просто перед записью в бд экранируйте спец-символы функцией mysql_escape_string. | |
| |
|
|
