Sto elaborando un input da parte del pubblico con un editor WYSIWYG javascript e sto pensando di utilizzare htmlpurifier per ripulire il testo.utilizzando htmlpurifier per l'input o l'output di escape/filtering
Ho pensato che sarebbe stato sufficiente utilizzare htmlpurifier sull'input, archiviato l'input pulito nel database e quindi inviarlo senza ulteriori fughe/filtri. Ma ho sentito altre opinioni che dovresti sempre sfuggire all'output.
Qualcuno può spiegare perché avrei bisogno di pulire l'output se sto già pulendo l'input?
Il problema di affidarsi all'editor di js è che un utente malintenzionato potrebbe inviare un post ignorando qualsiasi controllo di js. – Yehosef
@user, naturalmente. Ma non è il tuo depuratore per questo scopo? –
@Col - sì - ma Artefacto stava dicendo che il js "convalidava" l'html - quindi non c'è bisogno di convalidare due volte (che significa usare htmlpurifier) – Yehosef