Стоит задача дать возможность пользователям сами создавать/редактировать контент на сайте (статьи, новости и т.д.)


Сначала была простая идея - сделать простейший редактор составления контента (к примеру BB-код), хранить контент в базе в этом самом BB-коде, а при отображении - парсить в HTML.

Но возникло требование - дать пользователям wysiwyg редактор (контингент пользователей - люди, далекие от компьютеров, сложнее MS Word'а ничего не видали).


Вот и вопрос - как грамотно и безопасно это реализовать?

Пользователь в wysiwyg-редактор сразу видит форматированный текст, но "выход" редактора это HTML-код. Пусть на панельке редакторе я выставлю только те кнопки, что мне нужно (конкретные цвета, конкретные шрифты, запрет на изображения и т.д.), но злоумышленник сможет вбить туда любой html-код через firebug.
Как проверять содержимое контента при сохранении тогда? Нужно иметь фильтр разрешенных html-тегов, как-то так? И если я буду хранить контент в базе в html-виде, то отображать надо будет простым "echo" (без защит типа htmlspecialcharacters) - т.е. если злоумышленнику удасться внедрить "плохой" html, то оно отобразится.

Посоветуйте варианты - как хранить контент, и как на обоих стадиях фильтровать (на стадии сохранения, и на стадии отображения).


P.S. Это вопрос не по php конкретно, но общего раздела web-разработки нет. Я посчитал что ближе это всё-таки к серверной части, а так как меня интересует php-реализация, то постю сюда.

Заранее спасибо за ответы.

Один из вариантов - парсить текст перед сохранением на разрешенные теги.

Добавлено через 34 секунды
Да и как с помощью HTML что-то злостное написать?

Innuendo108, 
У меня написана система создания и редактирования страниц с использованием редактора WYSIWYG. Если вы беспокоитесь только за то, что в финальном html могут попасть запрещённые теги html, используйте функцию php strip_tags со вторым параметром. Напомню её соответствующее определение:



Указав в качестве второго параметра те теги, которые необходимо оставить в тексте, вы достигнете своей цели.

Как хранить? В базе, обыкновенно. Фильтровать перед помещением в базу. 

Guedda, 
ну как запрещенного.... ну если не учитывать внедрения <script> тегов, то вообще цель - запретить использовать нестандартное форматирование контента. (Вот есть стандарт - 3 цвета, 2 шрифта, 3 размера и 1 изображение) и всё - ничего другого нельзя.


mark2011, 
Спасибо за подсказку интересной функции - strip_tags , не знал, то что нужно. А как можно атрибуты в тегах запрещать?

Это сообщение отредактировал(а) Innuendo108 - 8.7.2011, 19:59

Innuendo108, 
А зачем вам запрещать атрибуты? Если тег запрещён, то он запрещён, тут никакие атрибуты не будут действовать. Если тег разрешён, значит разрешены любые его атрибуты. Если уж так нужно, попробуйте поиграться с регулярками в php на эту тему, но имхо кода больше будет, чем реальной пользы )))

mark2011, 

Просто чего я могу добиться запретом одних тегов? Да, <script>, <iframe> теги запрещу, запрещу картинки. Но css же всемогуч - пользователь сможет что угодно написать в атрибуте style, и я получу любое форматирование а так же и картинку (которые, к примеру, запрещены). Главное что через css можно делать аболютные дивы, которые будут налазить на шапку сайта, или подменять меню сайта и т.д. и т.п. Вообще страшная вещь =)

При том, wysiwyg редактор (я долго выбирал, не помню на каком я сейчас остановился) возможно как раз через style атрибут и задаёт стиль всем элементам. И как тогда быть с атрибутом style? Регуляркой обходить и блочить всякие position:absolute, background[-image] : url() и т.д.

Да действительно если уж сильно беспокоится, то надо и некоторые возможности css обрезать.
Но главное это отрубить ява-скрипты.

Я перепробовал целую кучу визуальных редакторов, но самый удобный и для пользователя и для разработчика TinyMce, для него еще есть отличный менеджер файлов.

Innuendo108, 
А собственно что? CSS - это 


и



Ну так запретите эти теги при помощи упомянутой выше функции strip_tags и всё как бы.... т.е. ситуация такая, вы парсите текст из редактора, если находятся эти теги, то они обрежутся. Ну что ж, если пользователь там что-то написал из CSS, то оно будет бесполезно. По крайней мере не выполнится - это уж точно 

Не знаю писали или нет, не читал. Напиши функцию которая заменяет символы <, >, /, ? и т.д. на их численные коды.