Ver Mensaje Individual
  #3 (permalink)  
Antiguo 23/03/2011, 09:50
DarkWater
 
Fecha de Ingreso: diciembre-2009
Mensajes: 186
Antigüedad: 14 años, 11 meses
Puntos: 5
Respuesta: tinymce <script>

Hola gracias por responder,

Lo que pretendo es que mediante timymce el usuario suba sus comentarios a la web y si mas tarde quiere modificarlo que la aplicación coja el cometario de la base de datos y lo muestre otra vez en tinymce.

El problema es que el usuario puede introducir el texto que quiera por lo tanto puede introducir la siquiente cadena
EJ:
Código:
<script>alert("ataque XSS");</script>
para evitar el ataque utilizo en PHP la función htmlspecialchars que escapa los caracteres y me guarda en la base de datos el siguiente texto:
Código:
&lt;script&gt;alert("ataque XSS");&lt;/script&gt;
Pero si el usuario quiere modificar el texto que escribió, la aplicación coge los datos de la base de datos y los carga en timymce. Suponiendo que solo escribiera el texto del ejemplo, en tinymce no se muestra nada, pero si lo vuelvo a guardar me vuelve a guardar la misma cadena. Es decir, que el texto se encuentra cargado en timymce pero no lo muestra.

Timymce me deja introducir javascript pero no me deja cartgarlo desde la base de datos.

Gracias