Когда возможности ограничены то Вы полностью правы достаточно проверить на допустимость теги и их атрибуты.
А если WYSIWYG с полным набором как в TinyMCE здесь и просто в HTML можно писать и очень хитро спрятать JS код.
То что текст на входе может содержать неправильное HTML (незакрытый тег например) может испортить вид страницы — это действительно проблема.
Спасибо что обратили мое внимание на это.
кто сказал подбадривал?
просто были случаи когда после заключения договора заказчик считал себя чуть ли не Богом.
Я только хочу чтоб были нормальные деловые отношения и все.
Хотелось бы увидеть лучшей способ поиска по тексту чем тот фултекст что есть сейчас.
И систему плагинов чтоб Sphinx, например, можно было б более удобно установить.
Лично я когда читаю или пишу ТЗ то всегда в голове представляю приблизительную структуру ДБ какие будут запросы. Какие операции буду чаще других исполнятся что для меня ново в єтом проекте, что я уже делал что будет если база будет огромных размеров, какая посещаемость, в общем я уже на єтапе писания ТЗ образно проектирую проект, прикидываю сколько нужно времени и плюс 30% (так как я заметил что всегда слегка преувеличиваю свои возможности) так и получаю время на разработку в нормальном режиме. пока єтот метод не подводил =)
А если WYSIWYG с полным набором как в TinyMCE здесь и просто в HTML можно писать и очень хитро спрятать JS код.
Для большинства сайтов/портал достаточно «красиво» убрать подозрительный код.
Работа фильтров тестируется до сдачи проекта.
Нужно сохранить разметку WYSIWYG редакторов.
Спасибо что обратили мое внимание на это.
htmlspecialchars — не подходит так как разметка теряется.
htmlspecialchars() ;) — не подходит так как разметка теряется.
Nicolas Courtois думаю таки достигнет своего и продемонстрирует алгебраическую атаку на шифр ASE тогда много чего рухнет…
к чему претензии?
а то тока между двумя последними щелчками рисуєт.
просто были случаи когда после заключения договора заказчик считал себя чуть ли не Богом.
Я только хочу чтоб были нормальные деловые отношения и все.
И систему плагинов чтоб Sphinx, например, можно было б более удобно установить.
Абсолютно верное замечание.
С обоих сторон должно идти взаимопонимание и в тоже время работа должна быть выполнена в срок и по ТЗ.
Фрилансер не раб.
Нужно уважать человека тогда и он будет вас уважать, даже возможно чем то поможет подскажет.
А то как накинутся, то то и то до завтра, а там и там єто поменять на єто… %)
Лучше я сделаю мелкий заказ или не такой дорогой нежели мне будут нервы трепать.