Discussion :

[aziz jim]

Bonsoir:

Les membres de mon site (php) peuvent utiliser le wysiwyg FCKeditor pour "CRUDer" leurs participations. le contenu est sauvegardé dans une BD mysql.
Ma question est la suivante;
Quelles sont les mesures de sécurité prise en compte par FCK par default?
est ce que je peux insérer le code générer directement?
ou je dois prevenir des injections sql (mysql_real_escape_string) ? sachant les problèmes de formatage dus aux manipulation des slashes avec cet editeur?
Et pour les codes javascript génants, qu'est ce que je peux faire?
.....
MERCI.

[absurdsystem]

Slt !

en principe fckeditor ne gère pas ça.

Si tu regarde dans les exemples du dossier _samples de fckeditor tu remarquera que dans le fichier sampleposteddata.php est utilisé les fonctions stripslashes(),htmlspecialchars() ou get_magic_quotes_gpc()

[TiEuAM]

est ce que je peux insérer le code générer directement?
ou je dois prevenir des injections sql (mysql_real_escape_string) ?

La question ne se pose meme pas, lol.
Protège tous les champs qui sont accessible à l'internaute.

Si FCKeditor laisse présente les balises type <script> de javascript, alors il faut que tu les balaye avec une petite regex, ça t'évitera des exploitation xss en plus des injections sql lol.
Les regex seront tes amis dans ta lutte contre l'insécurité des wy.

[aziz jim]

La question ne se pose meme pas, lol.
Protège tous les champs qui sont accessible à l'internaute.

Cette question a été coupé de son contexte. et toute seule donne le sentiment que celui qui la posé est ...

Quelles sont les mesures de sécurité pris en compte par FCK par default?
est ce que je peux insérer le code générer directement?

Les scripts présentés au webmasters deviennent de plus en plus performant et complets. et Pourquoi pas au niveau de la sécurité et de la filtration des résultats en sortie?

[TiEuAM]

Bah regarde ce que fckeditor te fait en sortie, apparement pas grand chose si le fichier sampleposteddata.php n'a pas été utilisé, ou autre lui resemblant.
absurdsystem a filer un bon indice qui souligne que les données transmise par le js ne sont pas pré traitées.

Et je trouve cela normal, tout le monde ne souhaite pas forcément échapper ou convertir des caractères en sortie de son fckeditor, c'est à toi de le faire comme leur exemples _samples selon tes buts.

Par contre, si ils ont laisser la possibilité d'insérer du code javascript, cela n'est pas trop normal.

[aziz jim]

Bonsoir :
si ça peut aider quelqu'un, j'ai résolu le problème en utilisant HTML_Safe-0.9.9beta ( avec XML_HTMLSax3-3.0.0 ) du framework PEAR.( avec qq modifications minimes ) et ça semble marcher sans problèmes.

This parser strips down all potentially dangerous content within HTML