Bonjour.

Dans mon backoffice j'ai un champs ckeditor et lorsque j'ajoute un nouvel enregistrement dans ma BDD les balises html ne sont pas échappées.

Ceci est très gênant, et permet d'insérer du javascript par exemple qui serait exécuté (j'ai testé et c'est bien le cas)

Je m'explique dans mon champs ckeditor je met ceci.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
<script>alert(document.cookie)</script>
j'ai le même code dans ma bdd, ca ne devrait pas être ceci à la place?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
&lt;script&gt;alert(document.cookie)&lt;/script&gt
Dans mon fichier settings.yml j'ai pourtant bien ceci.

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
.settings:
    # Output escaping settings
    escaping_strategy:      true
    escaping_method:        ESC_SPECIALCHARS
Merci.