WYSIWYG защита от sql, xss injection

@Firsim · Регистрация: 13.09.2014

Студворк — интернет-сервис помощи студентам

Добрый час. Хочу дать пользователям при добавление статьи максимум удобств и возможностей + наглядность. Поэтому решил остановится на WYSIWYG редакторе текста, т.к. BBcode хоть и удобен лично для меня, но сразу смекнуть сложно зачем добавляются эти странные скобки с буквами)
Но вот передо мной встал вопрос: как отфильтровать полученный текст вместе с HTML от текста недоброжелателей.
С bb кодами я давно работаю и там все достаточно просто, а вот как поступить с чистым HTML не знаю. Подскажите пожалуйста)

P.S. Предполагается использование TinyMCE последней версии.

@Streletz · 28.09.2014, 20:18

А, чем Вас не устраивают bb коды? Также не стоит забывать, что многие "обычные пользователи" не владеют HTML

.

Сообщение от Firsim

а вот как поступить с чистым HTML не знаю

ИМХО, есть 2 варианта:

"Вырезать" из HTML всё "что не положено".
Отключить все возможности работы непосредственно с HTML-тегами. Оставить только визуальные средства.

@Firsim · 28.09.2014, 21:37 **[ТС]**

Сообщение от Streletz

А, чем Вас не устраивают bb коды? Также не стоит забывать, что многие "обычные пользователи" не владеют HTML

WYSIWYG (произносится [ˈwɪziwɪɡ], является аббревиатурой от англ. What You See Is What You Get, «что видишь, то и получишь»)
Пользователю как раз и не нужно знать HTML, текст редактируется как в Word'e)

Сообщение от Streletz

ИМХО, есть 2 варианта:
"Вырезать" из HTML всё "что не положено".
Отключить все возможности работы непосредственно с HTML-тегами. Оставить только визуальные средства.

Ну я вот и обратился сюда, что бы подсказали готовый класс/функцию для этого дела) А то в интернете покопался и не нашел)

BBcode не устраивает тем, что для них я не нашел WYSIWYG. А так можно было бы использовать и их)
P.S. Все же есть редакторы WYSIWYG с bbcode, но мне бы еще туда загрузку картинок на прямую)

@Streletz · 28.09.2014, 21:57

Сообщение от Firsim

Ну я вот и обратился сюда, что бы подсказали готовый класс/функцию для этого дела) А то в интернете покопался и не нашел)

Если 1й вариант, из предложенных мной, то это всё, скорее всего, придётся писать самостоятельно под конкретный опенсорсный редактор.
В таком случае функция strip_tags в помощь. Хотя для "продвинутой" реализации её не хватит, так как она удаляет только теги. Некоторые "нехорошие вещи" могут быть, например, в атрибутах. Их придётся искать и "чистить" регулярками.
Для того чтобы реализовать 2й вариант, смотрите документацию и исходники(опенсорсный редактор) выбранного редактора.

Сообщение от Firsim

BBcode не устраивает тем, что для них я не нашел WYSIWYG. А так можно было бы использовать и их

Простите, но Вы, видимо, как-то не так искали

. Вот 2 редактора из гугла, просто в качестве примера:WysiBB и HotEditor.

@Firsim · 28.09.2014, 22:08 **[ТС]**

Сообщение от Streletz

Простите, но Вы, видимо, как-то не так искали. Вот 2 редактора из гугла, просто в качестве примера:WysiBB и HotEditor.

Возможно, большое спасибо. Буду читать документацию. У WysiBB вроде все норм, тока мне не нравится что "кнопочки" слева, а не как привычно сверху) Придется ковырнуть еще и стиль)

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@Firsim 0 / 0 / 0 Регистрация: 13.09.2014 Сообщений: 10

	WYSIWYG защита от sql, xss injection 28.09.2014, 20:02. Показов 1893. Ответов 4 Метки нет (Все метки) Добрый час. Хочу дать пользователям при добавление статьи максимум удобств и возможностей + наглядность. Поэтому решил остановится на WYSIWYG редакторе текста, т.к. BBcode хоть и удобен лично для меня, но сразу смекнуть сложно зачем добавляются эти странные скобки с буквами) Но вот передо мной встал вопрос: как отфильтровать полученный текст вместе с HTML от текста недоброжелателей. С bb кодами я давно работаю и там все достаточно просто, а вот как поступить с чистым HTML не знаю. Подскажите пожалуйста) P.S. Предполагается использование TinyMCE последней версии. 0