symfony textarea widget érdekesség 

Érdemes erre a widgetre odafigyelni, különben nem várt meglepetésben lesz részed. A textareaban megjelenő szöveget illik escapelni, erre tökéletes is lenne a htmlspecialchars függvény. Csakhogy a symfony nem pontosan ezt csinálja. Az sfWidgetFormTextarea::render() kicsit megpróbál tovább menni. A form framework jó pár widgetben használja az sfWidget::escapeOnce() metódust, itt azonban ez igen veszélyes.

A kedves olvasóra bízom, hogy mi lesz az alábbi szöveggel, miután kétszer egymás után postolja az egy formon.

<p>ez itt egy bekezdes</p> &lt;script&gt;alert(&quot;aaa&quot;);&lt;/script&gt;