Hallo!
Ich habe hier ein Eingabefeld, das mal text und mal textarea ist. Wenn es eine Textarea ist, werden die Daten von tinyMCE vorformatiert.
Das Problem ist, nehme ich htmlspecialchars, werden alle eckigen Klammern umgewandelt. Anführungszeichen jedoch gehen durch und könnten dementsprechend für einen Angriff missbraucht werden.
Nehme ich mysql_real_escape_string bleiben die HTML-Tags, aber die Anfürhungszeichen werden escaped, was wiederum später im Editor entsprechend aussieht.
Was also tun, wenn man Sicherheit und HTML will
Danke.
Ich habe hier ein Eingabefeld, das mal text und mal textarea ist. Wenn es eine Textarea ist, werden die Daten von tinyMCE vorformatiert.
Das Problem ist, nehme ich htmlspecialchars, werden alle eckigen Klammern umgewandelt. Anführungszeichen jedoch gehen durch und könnten dementsprechend für einen Angriff missbraucht werden.
Nehme ich mysql_real_escape_string bleiben die HTML-Tags, aber die Anfürhungszeichen werden escaped, was wiederum später im Editor entsprechend aussieht.
Was also tun, wenn man Sicherheit und HTML will
Danke.
Kommentar