템플릿 - symfony 및 CKEDITOR에 html 태그를 표시합니다. 얼마나 안전합니까?

Question

저는 Symfony 1.4와 Doctrine 1.2를 사용합니다.

<p><b>bold</b> <i>test</i></p> 

등

대신

굵은시험

: 내가 좋아 폼에서이 작업을 순 데이터를 추가 할 수 있지만 템플릿이 예를 들어 저를 보여 주면 나는 플러그인 http://www.symfony-project.org/plugins/sfCkPlugin 설치

여기에 뭔가 추가해야합니다 : getDesc()?>,하지만 무엇? 데이터베이스에서

나는이 MySQL의 :이 안전

<p> <strong>bold</strong> <u>test</u></p> 

입니까?

Answer 1

이것은 심포니의 출력 도피 때문에 발생합니다.

당신은 데이터에 getRawValue()를 호출하여 문제를 해결할 수 있습니다

$obj->getDesc()->getRawValue(); 

곰이 작업을 수행 할 경우, 입력 된 다른 무엇이든 HTML/자바 스크립트/안전한지 확인해야한다는 것을 염두에 페이지에 출력 할 수 있습니다. 그것이 백엔드에서 오는 경우, 당신은 아마 괜찮습니다. 그러나 최종 사용자가 오는 경우 XSS 공격을 차단하고 레이아웃을 중단시키는 html을 방지하는 등 안전을 보장해야합니다. 큰 주제입니다.