Où se trouve une documentation BON sur la façon correcte de créer des bases de données TinyMCE ou FCKEditor afin de stocker dans la base de données SQL?

Question

J'ai recherché haut et bas et ne peut trouver que de la documentation très mauvaise sur la façon de sauvegarder correctement les données d'un éditeur de texte riche à une base de données SQL Server. Je ne travaille pas avec des profils personnels, je veux juste comprendre comment il est correctement fait, y compris comment échapper correctement ces données.

Answer 1

Utilisez des requêtes paramétrées et vous n'avez pas besoin d'échapper ou d'encoder les données entrant ou sortant du DB.

Ce qui devrait vous préoccuper davantage, c'est la composition du code HTML que vous recevez lorsqu'il est rendu à partir de la base de données. Ce n'est pas vraiment suffisant de faire confiance à la personne soumettant le code HTML pour ne pas être malveillant.

Le HTML contient-il un script? Le HTML contient-il des attaques XSS? Est-ce qu'un formatage ou CSS incorporé dans le code HTML brise votre page? Est-ce que le balisage non fermé dans le code HTML brise votre page?

Answer 2

Un moyen simple serait HtmlEncode le contenu du contrôle TinyMCE lors de l'enregistrement et le décoder lors de la récupération.