顯示模板中的html標籤 - symfony和CKEDITOR。如何安全？

Question

我使用Symfony 1.4和Doctrine 1.2。我安裝的插件http://www.symfony-project.org/plugins/sfCkPlugin 如果我從形式這個工作增加淨數據確定，但在模板這告訴我，例如：

<p><b>bold</b> <i>test</i></p> 

等

，而不是

大膽測試

我必須添加一些東西：getDesc（）？>，但是什麼？

在mysql數據庫，我有：

<p> <strong>bold</strong> <u>test</u></p> 

這是安全的？

Answer 1

這是因爲symfony中的輸出助手而發生的。

您可以通過在數據調用getRawValue（）修正：

$obj->getDesc()->getRawValue(); 

記住，如果你這樣做，你需要確保HTML/JavaScript的/已進入其他任何安全在頁面上輸出。如果它來自後端，您可能確定。但是，如果它來自最終用戶，則應確保您安全（阻止XSS攻擊，防止破壞佈局的HTML等）。這是一個很大的話題！