Teraz wpadłem w jakąś głupią sytuację. Chcę, aby użytkownicy mogli korzystać z materiałów tekstylnych, ale nie powinni zawracać sobie głowy moim poprawnym kodem HTML przy ich wpisie. Więc jakoś muszę uciec z HTML.W jaki sposób mogę tekstylować i odkażać html?
html_escape(textilize("</body>Foo"))
złamie włókienniczych podczastextilize(html_escape("</body>Foo"))
będzie działać, ale łamie różne funkcje tekstylne takie jak linki (napisany jak"Linkname":http://www.wheretogo.com/
), gdyż notowania byłyby przekształcone"
, a tym samym nie zostały wykryte przez włókienniczych więcej.sanitize
nie wykonuje lepszej pracy.
Jakieś sugestie na ten temat? Wolałbym nie używać do tego problemu Tidy. Z góry dzięki.
Ale uważaj na exploity pre i code tag. na przykład. (czy ryzykuję tego?)
–