Как правильно хранить оформление текста в текстовых полях

[martinelli]

Как правильно хранить оформление текста в текстовых полях

Вопрос такой, при написании, например, форума хочу дать возможность пользователю оформлять текст (например делать его жирным, различного цвета, писать ссылки и т.д.)
Насколько я понимаю есть два способа.
1) Хранить в базе готовый HTML, а при выводе на станицу отсекать не безопасные HTML теги.
2) При записи в базу все оформление хранить в отличных от HTML кода тегах, а при выводе преобразовывать к HTML виду.
Каким способом делать раумнее? (с точки зрения безопасности, трудозатрат и т.п.)

 

[Rodion]

используй HTML Area
http://www.interactivetools.com/products/htmlarea/

 

[martinelli]

штука конечно красивая и интересная, а как быть на счет безопасности? Вопрос был в каком виде хранить в базе данных?

 

[Фанат]

А базе совершенно абсолютно по барабану - что хранить.

 

[martinelli]

Это все понятно. Проблемы могут быть когда выводишь содержимое базы на страницу. Конечно простой htmlspecialchars все проблемы прибьёт, но заодно и со всеми прочими вещами покончит (жирный шрифт и т.д.).

 

[StUV]

martinelli
- вводишь список разрешенных тегов и делаешь стрип_тагс со вторым параметром

или

- делаешь что-нить вроде бб-кода, его парсишь, а все остальное стрип_тагс

в чем ты видишь проблему ?

 

[Фанат]

первое небезопасно, поэтому используется обычно второе

 

[martinelli]

STUV, проблеммы я не вижу, я хотел узнать как делать лучше.

Фанат, мне тоже кажеться что второй способ предпочтительнее. Пожалуй я так и сделаю.

 

[Фанат]

если учесть, что он используется на 90% всех публичных скриптов, то, я думаю, это будет неплохим решением.