comentário de chamado injetando html

[wgnann]

Colocar algum html no comentário como, por exemplo,

<meta http-equiv="Refresh" content="1;url='https://www.youtube.com/watch?v=oHg5SJYRHA0'">

faz com que o comentário, na hora de ser aberto, seja processado como HTML.

O ideal seria tratar/sanitizar(?) o texto na hora de ser exibido.

Além disso, parece que existe algum excerto de código que transforma texto de link (e.g. https://www.youtube.com/watch?v=oHg5SJYRHA0) em link em HTML (e.g. <a href="https://www.youtube.com/watch?v=oHg5SJYRHA0">https://www.youtube.com/watch?v=oHg5SJYRHA0</a>). Não sei se é uma boa prática tratar o texto antes de ir para o banco.

[wgnann]

Aliás, nessa mesma esteira, o campo descrição fica vazio se for preenchido com tags HTML.

[wgnann]

acho que é só usar o e() aqui:

chamados/resources/views/chamados/show/card-comentarios-user.blade.php

Line 24 in 42349e6

<p class="card-text" id="comentario">{!! nl2br($comentario->comentario) !!}</p>

[masakik]

Ao invés de substituir na inserção do texto pensei em substituir somente na renderização. Menos invasivo.