CKEditor - dane wysłane metodą $_POST Opcje

[MalyKazio]

Witam,

Zamierzam wstawić na swojej stronie edytor CKEditor. Wszystkie pola tekstowe formularzy przepuszczam przez funkcję strip_tags a potem mysql_real_escape_string. Co zrobić z danymi otrzymanymi z CKEditor? Usuwając tagi stracę to, do czego używam tego edytora czyli właśnie tagi. Jak jednak zabezpieczyć otrzymane dane? Nie usuwać żadnych tagów?

[tehaha]

to gdzie Ty go chcesz wstawić? od strony admina czy użytkownika? jak od strony admina to zrób samo mysql_real_escape_string, jak od strony użytkownika to pytanie ile funkcji z tego edytora potrzebujesz, bo jak masz umożliwić użytkownikowi tylko z 4,5 funkcji takich jak pogrubienie, czcionka, kolor czcionki, rozmiar, to lepiej zrób BBcode

[MalyKazio]

Od strony użytkownika. Chodzi mi o wstawianie obrazków, tworzenie list, tabel, odsyłaczy itp

[tehaha]

Co innego gdyby taki formularz jest dostępny dla zwykłych użytkowników[/b] - wtedy oczywiście zapewne też bym pozwolił wpisywać w tym formularzu wszystko + mysqli_real_escape_string przed zapisem danych do bazy, tyle że potem przed wyświetleniem ich na stronie użyłbym htmlspecialchars lub ewentualnie strip_tags.

No tak tylko, że wtedy jak user umyślnie albo i nieświadomie wstawi kilka </div> to się strona rozsypie

Co do BBcode to chodziło mi, że wtedy bez edytora, albo edytor albo BBcode

//wiewiorek nie usuwaj postów bo potem nie wiadomo o co chodzi w rozmowie

Ten post edytował tehaha 9.05.2010, 13:38:25

[MalyKazio]

Dam sobie spokój z bbcode. Czyli nie zostaje mi nic innego, jak w strip_tags wymienić kilkanaście dopuszczalnych tagów?

[tehaha]

no tak by było najlepiej, albo wyciąć te nie dozwolone, bo jak wspomniałem , jeżeli ktoś wstawi </div> to strona może się rozlecieć

[MalyKazio]

Chyba jednak zdecyduję się na tinyMCE. Podają gotowe rozwiązanie do filtrowania danych: http://wiki.moxiecode.com/index.php/TinyMCE:Security przy zastosowaniu klasy PHP Input Filter Class tu. Ktoś zna tą klasę?