【问题标题】:show html tags in template - symfony and CKEDITOR. how safety?在模板中显示 html 标签 - symfony 和 CKEDITOR。怎么安全?
【发布时间】:2011-08-13 16:42:21
【问题描述】:

我使用 Symfony 1.4 和 Doctrine 1.2。我安装了插件http://www.symfony-project.org/plugins/sfCkPlugin 如果我从表单中添加网络数据,这可以正常工作,但在模板中,这会告诉我例如:

<p><b>bold</b> <i>test</i></p>

而不是

粗体 测试

我必须在这里添加一些东西:getDesc() ?>,但是什么?

在数据库 MySQL 中我有:

<p> <strong>bold</strong> <u>test</u></p> 

这是安全的吗?

【问题讨论】:

    标签: php html symfony1 ckeditor bbcode


    【解决方案1】:

    这是因为 symfony 中的输出转义符。

    您可以通过对数据调用 getRawValue() 来修复它:

    $obj->getDesc()->getRawValue();
    

    请记住,如果您这样做,您需要确保已输入的 html/javascript/其他内容可以安全地输出到页面上。如果它来自后端,你可能没问题。但是如果它来自最终用户,你应该确保它是安全的(阻止 XSS 攻击,防止破坏布局的 html 等)。这是一个很大的话题!

    【讨论】:

      猜你喜欢
      • 2016-04-05
      • 2014-01-21
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-07-23
      • 2018-07-04
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多