Problemos su tag'ais, TinyMCE

Laba vakara kolegos,

Iškilo bėda dėl TinyMCE. Žodžiu, bandau integruoti į CodeIgniter PHP framework'ą ir kažkodėl kai įrašo į duom.bazę textarea įvestą turinį, tai dažniausiai po <p> tag'o kitas tagas prasideda be <, pavyzdžiui:

<p>span style="text-decoration: underline;"><em><strong>TEST textarea's input</strong></em></span></p>

Taip negerai, reikia, kad pradėtų span tag'ą, t.y nedingtų niekur simbolis <

Bandžiau įvairiai, su vienu žmogumi pasikonsultavau, sakė, kad tai gali būti dėl CodeIgniter jau paruošto metodo insert(), pabandžiau panaudoti query() metodą, bet su tuo irgi tas pats. :) Ką patartumėt? Textarea turinio kintamąjį dedu į mysql_real_escape_string(), kad koks žmogus neįkištų netinkamų tekstų.

Dabartinis TinyMCE kodas esantis views aplankale yra:

<script type="text/javascript">
tinyMCE.init({
	// General options
	mode: "textareas",
	theme : "advanced",
	apply_source_formatting : true,
	plugins : "autolink,lists,pagebreak,style,layer,table,save,advhr,advimage,advlink,emotions,iespell,inlinepopups,insertdatetime,preview,media,searchreplace,print,contextmenu,paste,directionality,fullscreen,noneditable,visualchars,nonbreaking,xhtmlxtras,template,wordcount,advlist,autosave,visualblocks",

	// Theme options
	theme_advanced_buttons1 : "newdocument,|,bold,italic,underline,strikethrough,|,justifyleft,justifycenter,justifyright,justifyfull,formatselect,fontselect,fontsizeselect",
	theme_advanced_buttons2 : "search,replace,|,bullist,numlist,|,outdent,indent,blockquote,|,undo,redo,|,link,unlink,anchor,image,code,|,insertdate,inserttime,|,forecolor,backcolor",
	theme_advanced_buttons3 : "tablecontrols,|,hr,removeformat,visualaid,|,sub,sup,|,charmap,iespell,media,advhr,|,ltr,rtl,|,fullscreen",
	theme_advanced_buttons4 : "styleprops,|,cite,abbr,acronym,|,visualchars,preview",
	theme_advanced_toolbar_location : "top",
	theme_advanced_toolbar_align : "left",
	theme_advanced_statusbar_location : "bottom",
	theme_advanced_resizing : false,

	// Drop lists for link/image/media/template dialogs
	template_external_list_url : "application/assets/tinymce/jscripts/tiny_mce/plugins/lists/template_list.js",
	external_link_list_url : "application/assets/tinymce/jscripts/tiny_mce/plugins/lists/link_list.js",
	external_image_list_url : "application/assets/tinymce/jscripts/tiny_mce/plugins/lists/image_list.js",
	media_external_list_url : "application/assets/tinymce/jscripts/tiny_mce/plugins/lists/media_list.js",

	// Style formats
	style_formats : [
		{title : 'Bold text', inline : 'b'},
		{title : 'Red text', inline : 'span', styles : {color : '#ff0000'}},
		{title : 'Red header', block : 'h1', styles : {color : '#ff0000'}},
		{title : 'Example 1', inline : 'span', classes : 'example1'},
		{title : 'Example 2', inline : 'span', classes : 'example2'},
		{title : 'Table styles'},
		{title : 'Table row 1', selector : 'tr', classes : 'tablerow1'}
	],

	// Replace values for the template plugin
	template_replace_values : {
		username : "Some User",
		staffid : "991234"
	}
});
</script>
<!-- /TinyMCE -->

<!-- Kitas kodas -->

<div class='form_heading'>Įrašo turinys</div>
			<textarea rows='20' name='entrie_content' style='width: 690px' maxlength='10000'></textarea>

Dėkoju ir gero vakaro!

Pirmiausiai pažiūrėk, kaip jis pas tave POST'e pareina - ar su tuo <. Jei taip, tai gal kažkur escape'inant suknisa. Nepamenu kaip su CI, bet turėtų nereikėt escapint, jei naudoji tą jų duomenų bazės layerį.

Nieko gero. Katik patikrinau su var_dump() f-ja, bet išmeta štai ką:

string(88) "

span style="text-decoration: underline;">TEST

" 

P.S - Tas TEST būna paryškintas, kai išveda į ekrano langą per naršyklę.Manau nieko gero, nes vis tiek išveda be <

o tai apsaugot htmlspecialchars neužtenka?

Taip turėtų veikt:

htmlspecialchars($_POST['textarea']);

Čia taip būna, kai pasirenki vienu metu bold, italic font, underline :) O jei atskirai, tai viskas kaip ir gerai gaunasi...

Sveiki, problemą išsitaisiau prieš kelias dienas ir nusprendžiau čia parašyti kas buvo, kad tema nebūtų neinformatyvi.

Problema buvo tame, kad buvo įjungtas Global XSS, kuris neleido naudoti tokių simbolių <>, o prie kabučių pridėdavo \, todėl dažniausiai neveikdavo. :)