Как вывести форматированный текст YII2?

Question

[Дмитрий]

Доброе утро.
Возник вопрос на тему вывода форматированного текста в views.
Сайт сделан на Yii2.
Смысл в следующем. Пользователь загружает текстовый файлы(.docx, .odt, .txt), текст с файла считывается и записывается в базу. Текст может содержать в себе таблицы, списки и т.д. и т.п.
При выводе на странице сайта текст выводится при помощи Html::encode() и если в тексте есть html-теги, то, естественно, все теги экранируются.
Чтобы сохранить форматирование можно отключить экранирование html-тегов используя Html::decode(), но тогда возникает другая проблема. Пользователь может вписать в файл какой либо js код или ещё какую-то гадость.
Можно обработать текст при помощи strip_tags(), передав вторым параметром, какие теги не очищать.
Но будет ли это достаточным способом?
Вопрос в следующем, как можно сохранить форматирование текста, но при этом избежать срабатывания js кода или какой либо гадости?

Answer 1

[Максим Тимофеев]

В Yii есть yii\helpers\HtmlPurifier. Кстати советую его всегда использовать перед записью в базу данных полученных от пользователя.
Вот полные доки по этой библиотеке htmlpurifier.org
Там можно гибко настроить чистку любых тегов.

Comments

[Дмитрий]

Благодарю за быстрый ответ.
Знал о существовании данного helpera, но никогда не пользовался. Обходился пока вышеупомянутыми методами.

[Дмитрий]

Такой вопрос.
Если писать в базу текст обработанный через HtmlPurifier, то при выводе в textarea для редактирования он же всё равно обрабатывается Html::encode()?

[Максим Тимофеев]

slo_nik: Смотря как выводите. Виджетом, тогда как установите. Хотите будет, хотите нет.

[Дмитрий]

Textarea выводится в ActiveForm.
Или Вы имеете ввиду вывод самого виджета HtmlPurifier?

[Максим Тимофеев]

slo_nik: у ActiveForm можно включить и выключить encode

[Дмитрий]

Максим Тимофеев: Хоть убейте меня, но я так и не нашёл как это сделать!
Подскажите, пожалуйста, направьте на путь истинный...

[Дмитрий]

Максим Тимофеев: использую именно yii\bootstrap\ActiveForm. Например, в yii\bootstrap\Nav есть "encodeLabels => false" и encode отключает, а в ActiveForm никак не пойму как это сделать

[Максим Тимофеев]

slo_nik: в доках все есть: www.yiiframework.com/doc-2.0/yii-widgets-activefor... Например: encodeErrorSummary. ActiveForm еще использует и другие компоненты, например ActiveField (www.yiiframework.com/doc-2.0/yii-widgets-activefie...
и т.д. Что конкретно Вам надо не энкодить?

[Дмитрий]

Максим Тимофеев: Мне надо отключить encode для textArea(). В textArea() мне надо выводить текст, в котором будет html(таблицы, списки, ссылки)

[Максим Тимофеев]

slo_nik: Если это 1 поле, то почему бы не вывести его просто html кодом без участия виджета?

[Максим Тимофеев]

Максим Тимофеев: Но сам value для text aria не энкодится. Если у Вас в textaria не то что Вы ожидаете дело в другом.

[Дмитрий]

Максим Тимофеев: Поле в форме не одно, есть ещё поля.
>>>Но сам value для text aria не энкодится.
А как же тогда это - https://github.com/yiisoft/yii2/blob/master/framew...
Разве это не кодирование value?
Если использовать просто , без виджета, то всё равно, теги вывести не получится.
Поэтому пока textarea скрыл при помощи css, а текст вывожу в обычный div. Редактирование файлов будет путём скачивания на комп, редактирование, а потом загрузка отредактированного файла обратно на сайт.

[Максим Тимофеев]

slo_nik: теги?

[Дмитрий]

Максим Тимофеев: что теги? не совсем понял

[Максим Тимофеев]

slo_nik: Вы пишите:
Если использовать просто , без виджета, то всё равно, теги вывести не получится.
Но до этого слово ТЕГИ не фигурировало. При чем тут теги и почему не получится их вывести

[Дмитрий]

Максим Тимофеев: Слово "теги" в вопросе присутствует и не раз. Вывести форматированный текст, значит вывести с тегами, которые могут быть в тексте. И вывести так, чтобы не показывало тег