В настоящее время есть куча визуальных редакторов для форматирования текста он лайн (FCKeditor, TinyMCE и др) на java script`e. Удобно для пользователей, наглядно, картинки с обтеканием в тексте, шрифты, фоны - и все сразу видно как выглядеть будет! Все замечательно, но что если поставить такой визуальный редактор для комментариев пользователей в блог или форум? Хочет пользователь картинку в текст - пожалуйста! Не нравится обтекание текста справа - сделай слева! Проверил на нехорошие теги и символы и вноси в базу готовый HTML. Красота! Да, как то все уж очень хорошо получается. Что скажете про такое доверие вводу пользователя?
на форум - вполне, тут региться надо, пару раз забанил и уже не лезут... а вот в блоге не стоит этого делать
[vs] Нах на js? это неправильно. форумы по типу этого юзают же бб->хтмл через php. ктому же минусы - при большом количестве постов на страницу (штук 30) страница будет лагать. а при выключенном js - вообще уйня получится.
[vs], а почему нельзя обработать html на сервере ? разрешить только определенные теги и поместить в базу. не будет необходимости заменять вв-коды при каждом выводе страницы с 30-ю комментариями. или я слишком сильно надеюсь на правильную валидацию?
vagus хотя бы потому, что далеко не каждый знает хтмл. а вы предлагаете что после помещения базу, человечки будут редактировать свои посты со справочником на коленях. Зачем?
терпеть не могу топики про доверие пользователю. Можно пользоваться редактором, но разрешать только определённые теги. Можно хранть чистяк в виде ббкодов, а можно чистяк и результат одновременно, или в кеше результат. Все зависит от того, что в итоге надо получить.
наверное, самый оптимальный вариант. Апельсин Клиенты сейчас мощные, браузеры соревнуются в скорости обработки JavaScript, они у всех включены... нормально)
не обязательно, смотря где и как... Я в блоге, допустим, статьи кеширую, а коменты парсю. Храню всё исходное. На хабре коменты скорее всего хранятся в конечном виде.
у них кешнло - спец сервер, в октором каменты чудесным образом обретают уйму минусов ни за что кеш барахлит
а чем вас бб коды не устроили? мне вот они нравятся да и привычны что ппц они уже, какбы стандарт так сказать для всякого рода комментариев и тп. хтмл фильтровать тяжело, очень тяжело. подумайте 10 раз, пока с вашего сайта не уперли всю инфу. плохо офильтрованный хтмл, если пропустить яваскрипт, можно стырить куки, с куками можно зайти в ту же админку и нагадить. в общем я за бб коды, а хранить да, две версии - бб и хтмл паршеную, чтобы не напрягать сервер бесполезной работой
Вообще-то WYSYWYG редакторы позволяют урезать функционал. Я обычно оставлю только жирный, курсивный, подчеркнутый и зачеркнутый тексты - все остальное у меня урезается самим редактором на стороне клиента. Но т.к я параноик, на стороне сервера тоже есть дополнительная проверка.
это не паранойя, а нормальное стремление обезопасить код. ибо сляпать ядовитый пост-запрос легче простого.
Так в этом и преимущество визуального редактора! не нужно знать ни html, ни bb-коды Не красиво, неудобно - ну, конечно на мой взгляд. Чтобы увидеть конечный результат нужен предпросмотр и др неудобства. А в чем преимущество хранения 2-х вариантов (BB-code и HTML), что выводить в браузер? Парсить и то и другое?
vagus Нормальные пользователи этого делать не будут. А для шаловливых ручек см. выше. Так что не вижу проблемы.
vagus ты что тупишь. Ты почитай что ты спросил. или ты спросил что бы подоказывать свою точку зрения? парсится один раз при изменении ну или создании и ложиться рядышком, На редактирвоание отдаётся чистяк,а показывается html. Если используешь какое-то преобразование, то оригинал надо всегда хранить, хотябы для того чтобы не делать обратное преобразование. Просто есть разные bb походы. Есть те которые не показываются пользователю реально, они фасадируются джаваскриптом. И всё круто - в браузере хтмл, за js bb, в базу летит bb, показывается хтмл.