Discussion :

[Balbuzard]

Bonjour,

Je viens de decouvrir FCKeditor, et je suis assez bluffe,
J'ai cependant une question concernant la securite,
Je demande a mes utilisateurs de remplir un formulaire, et jusqu'a present je filtrait toutes les donnees saisies avec htmlspecialchars entre autre.
Cette fonction a pour effet de desactiver l'effet des balises html qui peuvent etre utilisees pour inserer du code javascript non desire dans mes bases de donnees.
Je suis oblige de desactiver cette fonction si je veux avoir le rendu de FCKeditor, n'est-ce pas un probleme de securite?

Il y a une liste de balises acceptees dans le fichier de configuration fckconfig.js (bon, deja, <script> n'y figure pas), est-ce que ca nous dispense de verifier les entrees utilisateurs avec les fonctions htmlspecialchars/mysql_escape_string ?

Merci de vos conseils!

[mathieu]

les éditeurs riches permettent de saisir n'importe quel code html donc tu dois en tenir compte quand tu affiches ce code html dans ton site
ensuite il y a des tests qui sont fait pour empêcher certaines balises mais ces tests sont fait coté client donc tu devras obligatoirement les refaire côté serveur

[Balbuzard]

Oki, je me doutait bien que ça pouvait pas être aussi facile, d'ailleurs le fichier de configuration qui n'autorise que certaines balises est en javascript, qui peut être désactivé côté client (maintenant que tu m'en parles lool)
Merci de ta réponse et de tes conseils.

EDIT

Non, en fait, pas tant résolu que ça;
Je ne sais pas comment éviter l'inclusion de code javascript dans mes pages du coup. J'ai pensé m'en sortir avec des regex pour éviter d'entrer dans mes bases de données des paragraphes qui contiennent, je ne sais pas si c'est la meilleure idée, en tout cas j'ai du mal à la mettre au point.
J'ai créé une fonction que j'applique à mes entrées utilisateurs, dont voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
        function html_checker($texte)
        {
                if(preg_match("#<(script)>#i","$texte"))
                {
                        $texte=preg_replace('#<(script)>#i', '****', $texte);
                }
                return $texte;
        }
?>

Mais ça ne remplace pas le pattern <script> par ****
Je ne sais pas s'il y a une technique particulière pour protéger mes bases de données du code javascript éventuellement entré par mes utilisateurs...
Merci pour vos conseils!