Как безопасно сохранить данные с формы визуального редактора текста?

Question

[Diversia]

Здравствуйте!

Пожалуйста, поделитесь опытом! Как безопасно передать HTML-код из формы визуального редактора и сохранить его.
В PHP можно использовать:
strip_tags($input, '<br><b><i>');
Но на сколько это будет безопасно? Как лучше организовать сохранение?

Answer 1

[Boris Köln]

Для сохранения в БД используй PDO, чтобы не было SQL-инъекции.

Перед выводом в браузер (или предварительно перед сохранением в БД) используй https://word-to-html.ru/ или htmlpurifier.org . Это удалит потенциально-опасные теги и атрибуты (например, js), а в качестве бонуса сократит лишний html (особенно при копировании из Ворда в визуальный редактор)

Comments

[Diversia]

Спасибо!

Answer 2

[Andry]

Не надо вырезать никакие теги!
Безопасность, как и в сексе, определяется правильным применением контрацептивов :)
При записи в БД ваши данные перед попаданием в текст запроса должны пройти через escape-обработку mysqli_real_escape_string() php.net/manual/ru/mysqli.real-escape-string.php
При выводе в браузер ваш текст, независимо от того, ожидаете вы в нем теги или нет, должен пройти через htmlspecialchars() php.net/manual/ru/function.htmlspecialchars.php

Эти два простые правила позволят вам получить море наслаждений с минимальным риском.

Маленькое дополнение. Если в редакторе используется bbCode, то подумайте над хранением обеих версий текста: оригинальный текст с редактора и скомпилированный html-код. Так вам придется выполнять дорогую операцию компиляции bbCode лишь при изменении оригинала.

Comments

[Diversia]

Спасибо!

[Diversia]

Андрей а если JS скрипт в код поставитчто-то или PHP, а я выполню для вывода страницы htmlspecialchars()?

[Andry]

Diversia: JS-код заключается в html-теги, которые "обезопасит" htmlspecialchars()

[Boris Köln]

Плохой совет.
После htmlspecialchars() код-то, конечно, будет безопасным, но совершенно бесполезным! Ключевое слово - редактор ВИЗУАЛЬНЫЙ. То есть там гарантированно будут теги. И после htmlspecialchars() эти теги будут видны. Для обычного посетителя выглядеть это будет очень странно.

[Diversia]

Boris Korobkov: Вы правы! А как же обезопасить?

[Andry]

bbCode для этого придумали.

Хоть он трижды визуальный редактор. Но если он создает HTML-код, то ни о каком "обезопасить" не может идти и речи.

Юзер создает свои творения с bbCode разметкой (в визуальном иль нет редакторе - без разницы).

[Boris Köln]

Прошлый век. В прямом смысле - такие костыли были в 90х годах.

[Andry]

Забавные у вас решения. Мой знакомый любитель поискать уязвимости насайте вам рукоплещет )

Значит если я сегодня в текст вставлю безопасный тег removeAll(), то ваш редактор его пропустит и сохранит на века в дебрях интернета.

Через 10 лет w3c примет стандарт, в котором тег будет выполнять код в контексте машины юзера даже, а не бразуера... в общем занятный у вас "прошлый век".