Silverstripe 3.3 - HTML形式のテキストをフロントエンドフォームからデータベースに保存するにはどうすればよいですか？

Question

私のサイトのユーザーがプレーンテキストコメントを送信できるようにしたいと考えています。これらのコメントを自分のサイトに提示すると、HTMLとして表示されます（つまり、<p>タグで、改行は<br>）。

Silverstripe 3.3でプレーンテキストをHTMLとして表示するにはどうすればよいですか？

私は

private static $db = array (
     'MyText' => 'HTMLText', 
); 

でのDataObjectを持っていると、フォーム：

public function MyForm() { 
     $myForm = Form::create(
      $this, 
      __FUNCTION__, 
      FieldList::create(
       HtmlEditorField::create('MyText') 
     ), 
      FieldList::create(
       FormAction::create('submit','Submit') 
     ) 
    ); 
     return $myForm; 
} 

私は機能を提出し、現在、それはプレーンテキストとしてテキストを保存し、この

public function submit($data, $form) { 
     $myDataobject = new MyDataobject(); 
     $form->saveInto($myDataobject); 
     $myDataobject->write(); 

     $form->sessionMessage('Message saved.','good'); 
     return $this->redirectBack(); 
} 

のようなものですHTMLなしの文字列。

Answer 1

OK - ご意見から、あなたのサンプルコードは実際に行っているものではなく、HTMLEditorFieldの代わりにTextareaFieldを使用しているようです。あなたは選択肢のカップルを持っているので、

これは、罰金です：

1. は、フォームの送信を書き込む前にHTMLを追加します。

   パブリック関数は（$データ、$形式）を提出{ $ myDataobject =新しいMyDataオブジェクト（）; $ form-> saveInto（$ myDataobject）; $ myDataobject-> MyText = sprintf（ '

   ％s

   '、nl2br（Convert :: raw2xml（$ data ['MyText']））））; $ myDataobject-> write（）;

   $form->sessionMessage('Message saved.','good'); 
       return $this->redirectBack(); 
   

   }

Convert::raw2htmlの使用に注意してください - これなしで、あなたはおそらくHTMLインジェクション攻撃を実行するためにHTMLを提出悪意のあるユーザーに対して脆弱になるでしょう。

モデルにセッターを追加：

クラスMyDataobjectはDataObjectの{

...

public function setMyText($value) { 
    return $this->setField('MyText', sprintf('<p>%s</p>', nl2br(Convert::raw2xml($value))); 
} 

}

を拡張

このアプローチはいつでも非常に壊れやすくなりますeが設定されていると、HTMLを意図的に設定しているときにエンコードされます。

推奨ソリューション：＃1