Discussion :

[Gizmil]

Salut,

j'aimerais savoir s'il n'est pas dangereux, niveau sécurité, de créer des champs texte tels que input ou textarea dans lesquels il est possible d'insérer du html ?

Comment puis-je empêcher l'insertion de certaines balises ou de toutes les balises et en autoriser d'autres ? En fait, j'aimerais autoriser l'insertion d'images (smileys) que je pense éventuellement faire apparaître de cette façon :

HTML :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<smiley1></smiley>

CSS :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
smiley1{  
    height:16px;  
    width:16px;  
    background-image:url(monsmiley1.png);  
}

J'aimerais également savoir comment insérer un contenu de variable String dans un champ textarea via un bouton.

Merci! (-;

[gene69]

une donnée est une donnée. Du moment que tu traites ta donnée en tant quel, elle n'est pas dangeureuse intrisequement.

Apres si tu veux afficher la donnée ça se complique. Si tu autorises tout et n'importe quoi, ce n'est pas dangereux pour toi mais pour ton visiteur qui verra une page qui pourra être vandalisée.

Pour lutter contre ça, il suffit d'un peut d'astuce et de limiter les balises authorisées dans le code html. Tidy fait ça tres bien.

Si tu passes en xhtml avec un code non valide, la page ne s'affichera pas du tout ce qui est aussi un autre probleme.

pour ton second probleme, tu fais un bouton genre <button> ou <input type="button" /> je ne sais pas quel langage tu utilises et avec un peu de JS (prototype => 1 updater() ) et tu places un listener sur le onclick.

[sabotage]

Ce n'est pas l'insertion qui pose problème mais ce que tu fais ensuite des données saisies.

Le plus simple est de ne pas autoriser le HTML ; donc utilisation de strip_tags() eventuellement et htmlentities() ensuite pour le ré-affichage des données.

Tu peux ensuite prévoir un système à la faç on BBCODE [smiley][/smiley] avec une expression régulière qui fait la transformation.

[rikemSen]

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
  function allowed_tags($input, $validTags = ''){
        $regex = '#\s*<(/?\w+)\s+(?:on\w+\s*=\s*(["\'\s])?.+?\(\1?.+?\1?\);?\1?|style=["\'].+?["\'])\s*>#is';
        return preg_replace($regex, '<${1}>',strip_tags($input, $validTags));
  } 
 
echo allowed_tags('<strong><i>hello world!</i></strong>'); // hello world! (en gras et italique)
echo allowed_tags('<strong><i>hello world!</i></strong>', '<i>');//hello world! (uniquement en gras)

?

[gene69]

pour le bbcode j'avais repris une classe d'un forum punbb à l'époque.