Discussion :

[SkaalZealot]

Bonjour,

je suis sur les finition de mon forum sur lequel j'utilise ckeditor et j'ai une question, dans un premier temps les messages seront envoyez en html ce qui implique plus de sécurité, j'entend toujours qu'il faut utiliser htmlspecialchars hors si dans mon message je met une redirection en javascript et même en php et bien celle ci fonctionne quand même cette commande n'est elle pas censé éliminer ce problème ?

Donc j'ai tester ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$balisse = '<blockquote><strong><ol><li><ul><small><big><img><a><p><i><u><s><h1><h2><h3><h4><h5><h6>';
$content = htmlspecialchars(strip_tags(trim($_POST['f_topic_content']),$balisse));

je voulais savoir si je suis bon ?

merci a vous.

[grunk]

Si tu utilise htmlspecialchars() le formatage html de ckeditor ne fonctionnera pas à l'affichage.
Tu optiendras par exemple :

"Text en <strong>gras</strong>" au lieu de "Text en gras"

Utiliser strip_tags à l'insertion dans la base est un premier filtre pour n'autoriser qu'un certains type de balise.

Cependant il très difficile de réellement protéger une entrée utilisateur dans laquelle on peut saisir du html parce que justement on ne peut pas utiliser htmlspecialchars().

On recommande généralement de bloquer la saisie html et de la remplacer par autre chose (markdown , bbcode , etc ...)

[SkaalZealot]

Bonjour,

Oui mais il y a htmlspecialchars decode non ? mais si vraiment c'est si compliquer je ferai du markdown.

[Willy_k]

Salut,
Il existe aussi des outils comme HTMLPurifier ou htmlawed

[SkaalZealot]

Finalement j'ai choisis le ckeditor bbcode avec le parser sur http://jbbcode.com

ce que je fait c'est que j'envoie le bbcode directement dans la base de donnée et avec le parser je transforme le bbcode en html.

Maintenant juste pour être sur, les articles rédiger en administration comme personne n'y a accès je peut laisser avec le ckeditor html ou c'est plus sur de le parser aussi ?

[grunk]

Tu ne peux pas être sur que personne n'y aura accès. Mais le risque est minimisé effectivement. Si tu veux de l'html dans l'admin j'appliquerais au moins une des solutions proposée par Willy_k

[SkaalZealot]

Très bien c'est noté merci !!