Tinymce и Sql Injection

[Sarabanda]

Всем привет! У меня вопрос такого характера.

Есть TinyMCE редактор, который создает текст включая ХТМЛ теги.
Ну и потом мы этот текст напичканый тегами передаем в форму.

На сколько мне изестно про SQL Injection, а известно очень мало, -- нежелательно передавать
теги в базу с открытой страницы.

Скажите, действительно ли это уезвимое место ?

Спасибо!

 

[1ive]

Достаточно фильтровать только входящие данные, вводимые неадмином. ($_get; $-post; разного рода input'ы)

TinyMCE имеет свою собственную систему фильтрации и защиты от подобного рода атак.
Если любой пользователь имеет доступ к TinyMCE, в доках можно найти информацию о разрешении и запрете определенных тегов и атрибутов

 

[vital]

а при вставке в базу mysql_real_escape_string() как бы от этого защитит. 100%.

 

[acorn]

Вроде бы TinyMCE не рекомендуется ставить на "общедоступные" страницы.. да и чаще всего в этом и смысла нету.