[SOLUCIONADO] Seguridad en Editores WYSIWYG

srwik · #1 (**permalink**) 27/03/2016, 16:19

Muy buenas,

Estoy insertando en un proyecto un editor WYSIWYG, conozco CKEditor y TinyMCE. El caso es que la función de este editor será tipo foro/artículos que podrá crear cualquier persona que se registre en la web.

Os quería preguntar a los que ya conocéis estos editores ¿Qué tal llevan la seguridad de inyecciones?

Había pensado en crear uno propio dejando solo utilizar <h1>, negritas, cursivas y poco más, para no complicarme en la seguridad ni en los formatos. Pero me asalta la posibilidad de insertar un editor de estos y ver que tal va, siempre y cuando sean seguros.

Por otro lado ¿Sabéis si las opciones de texto son fijas o se pueden seleccionar? Es decir, si quiero que el editor no tenga una función como subrayar por ejemplo.

Muchas gracias!!

petit89 · #2 (**permalink**) 27/03/2016, 17:02

el ckeditor es totalmente personalizable.... y pues en cuestion de seguridad, estan bien, al igual tu recibes los datos en una variable y haces con ellos las validaciones y comprobaciones que desees.

NueveReinas · #3 (**permalink**) 28/03/2016, 03:51

Con TinyMCE yo hago lo siguiente; envío el textarea por AJAX, lo recibo en PHP y antes de almacenarlo en la BBDD aplico mysqli_real_escape_string.

Código PHP:

Ver originalrequire('conexion.php');
$contenido = $_POST['contenido'];
$contenido = mysqli_real_escape_string($conexion, $contenido);

Hice pruebas de XSS y [blind] SQL injection y no hubo manera. Así que, en mi caso, funciona bien.

srwik · #4 (**permalink**) 28/03/2016, 07:30

Muchas gracias por vuestras respuestas. Estoy probando TinyMCE y funciona bastante bien, ahora estoy viendo como quitar opciones, ya que de serie trae muchas que no quisiera tener.

A leerse la documentación toca :)

Saludos!