Bonjour,
Je viens de decouvrir FCKeditor, et je suis assez bluffe,
J'ai cependant une question concernant la securite,
Je demande a mes utilisateurs de remplir un formulaire, et jusqu'a present je filtrait toutes les donnees saisies avec htmlspecialchars entre autre.
Cette fonction a pour effet de desactiver l'effet des balises html qui peuvent etre utilisees pour inserer du code javascript non desire dans mes bases de donnees.
Je suis oblige de desactiver cette fonction si je veux avoir le rendu de FCKeditor, n'est-ce pas un probleme de securite?
Il y a une liste de balises acceptees dans le fichier de configuration fckconfig.js (bon, deja, <script> n'y figure pas), est-ce que ca nous dispense de verifier les entrees utilisateurs avec les fonctions htmlspecialchars/mysql_escape_string ?
Merci de vos conseils!
Partager