revisando el archivo _formatting.php
vi que estaba esto:
* @todo fp>This should be moved to the backoffice. Checbox for each blog. This checkbox should NOT be editable by the blog owner.
* Only the system admin should be adble to edit this. Special "Admin" tab on the blog settings.
*/
$use_html_checker = 1;
# Security checking will check for illegal javascript hacks in posts/comments
# and for CSS in comments. However, this may be a bit harsh on your posts :]
/*
* @todo fp>This should be moved to the backoffice. Checbox for each blog. This checkbox should NOT be editable by the blog owner.
* Only the system admin should be adble to edit this. Special "Admin" tab on the blog settings.
*/
$use_security_checker = 0;
# WARNING: disabling both $use_html_checker and $use_security_checker is suicidal !
// Set this to true if you want to enforce XHTML strict
donde dice:
$use_html_checker = 1;
dice que si le cambioa a 0 ya no tendre restricciones en etiquetas html, pero que es muy peligroso, segun entendi, ya que se podrian aplicar scrips peligrosos de hackeo en los comentarios
quisiera saber si relamente es muy peligroso desablilitar el:
$use_html_checker
o mejor aun hay alguna forma de tener un no tener un "use_html_checker" en los post pero si en los comentarios??????
salu2
$use_html_checker -> compatibilidad con navegadores y buscadores (ej: Google)
Si está activado,
$posts_allow_javascript y $posts_allow_script_tags -> seguridad anti-scripts
Si no,
$use_security_checker -> intenta filtrarlos... (puede que lo consiga, puede que no)
Sobre el peligro de los scripts, pues es un peligro. Aunque no me haya encontrado ninguno, se me ocurren decenas de formas para hacerlos. Seguramente a los spammers también. Comprobar el formato sólo en los comentarios... se puede, pero es un poco contradictorio. Si el resto de la página falla, tener verificados los comentarios no va a hacerla compatible.
De todas formas, mirando por encima en b2evo2.0.2, creo que se podría conseguir desactivando $use_html_checker y editando en inc/_core/_misc.funcs.php para cambiar:
por: