Discussion :

[Invité]

Bonjour à tous,

Peut-être que ce sujet a déjà été évoqué, mais je n'ai rien trouvé.

Voilà, je voudrais m'assurer au maximum que la saisie utilisateur ne contienne pas de code malveillant pour certains formulaires, je n'ai donc autorisé que certaines balises grâce à :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

strip_tags($text, '<p><b><i><u><ul><li><em><span><br><br /><hr>')

.

Maintenant, même en faisant ceci, il n'est pas impossible que dans ma balise <p> par exemple, j'ai un onClick par exemple. C'est ce genre de chose que j'aimerais éviter et donc je voudrais que les balises que j'ai autorisé soient épurées de tous les attributs.

Seulement j'ai beau chercher et essayer je n'arrive pas à trouver la bonne expression qui me permettrait de faire ça ... en plus je suis pas super à l'aise avec les expressions alors j'y arrive vraiment pas. J'ai essayé plein de choses et la dernière en date c'est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_replace('#<p(.)*>#','<p>',$text);

(bon là j'ai mis pour la balise P car je voulais déjà m'assurer d'y arriver pour une balise avant d'aller plus loin).

D'avance merci pour votre aide !!

[Zwiter]

Tu peux essayer cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_replace('#<p[^>]*>#','<p>',$text);

Qui signifie : tout ce qui commence par <p, puis qui est suivit de 0 ou plusieurs caractères différents du >, et qui se termine par >/
Z.

[Invité]

Merciiiiiiii beaucoup à toi !! avec l'explication en plus pour être sure d'avoir bien compris, c'est parfait, ça marche bien.

Et quand on regarde la solution comme ça, ça a l'air tellement simple ... ça m'ait même pas venu à l'esprit d'interdire des caractères plutôt que de tout autoriser ...

Par contre, pour continuer là dessus, j'aimerais savoir s'il est possible de simplifier les choses de la manière suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$allowed_tags = array('p','b','i','u','ul','li','em','span','br','hr');
 
$mask ='/<$élément_du_tableau[^>]*>/i'; //élément_du_tableau est récupéré de $allowed_tags

En fait, si j'ai un tableau des balises autorisées, est-ce possible de récupérer chaque élément du tableau pour construire le masque qui correspondrait bien et le remplacer par la balise correspondant également ?

En fait c'est juste pour savoir si je dois faire directement "en dur" un masque pour chaque balise ... Je sais qu'on peut faire des tableaux de correspondances entre les masques et les chaînes de remplacement, mais moi je veux savoir si on peut rendre la saisie du masque "plus simple".

Merci d'avance

[s.n.a.f.u]

Salut,

Ca peut se faire, comme ça par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$str = "<p class='foo'> <span id='bar'>hello world</span> </p>";
 
$tags = array('p', 'span');
 
$reg = sprintf("#<(%s)[^>]*>#i", implode('|', $tags));
 
echo preg_replace($reg, '<$1>', $str);

Mais vu que tu n'as déjà gardé que les balises qui te convenait, tu peux aussi faire plus simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$str = "<p class='foo'> <span id='bar'>hello world</span> </p>";
 
$reg = '/<(\w+)[^>]+>/i';
 
echo preg_replace($reg, '<$1>', $str);

[Invité]

Ok, merci je vais tester ça.

Par contre j'ai regardé dans la doc pour m'assurer de bien comprendre, j'ai bien compris le \w qui est très logique car je fais déjà une épuration juste avant pour garder les balises souhaitées.

Par contre j'ai rien trouvé sur le <$1>, ou ce que j'ai pu trouver je ne le comprend pas (en tout cas ça correspond pas à ce que tu fais). Pourrais-tu m'expliquer à quoi cela correspond ou me donner un lien vers la doc correspondante, ce serait super sympa, car juste recopier c'est bof quand même

merci d'avance !

[s.n.a.f.u]

Le $1 correspond tout simplement à ce qui est attrapé par la première parenthèse capturante.

[Invité]

Je dois pas être correctement réveillée je crois car je suis pas sure d'avoir compris désolée.
En gros, le $1 va récupérer ce qui est retourné par mon \w+ ?

Ce que tu appelles "première parenthèse capturante", c'est les premières parenthèses de mon masque ? Donc si j'en ai une autre dans mon masque, je peux l'appeler par $2 ?

[EDIT]
En fait, ça marche super bien, mais je suis trop bête, je ne peux pas utiliser ce que tu m'as dit de faire, car ça ne marche pas tout le temps.
Par exemple, j'autorise les balises <u> mais aussi <ul> et du coup ben avec ce masque, tous les ul sont transformés en u, donc je crois que je n'ai pas le choix que d'y écrire en dur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
'/<u[^>l]*>/i' //pour les <u> 
'/<ul[^>]*>/i' // pour les <ul>

[s.n.a.f.u]

Exact !

Comme quoi, tu es bien réveillée finalement...

[s.n.a.f.u]

En fait, ça marche super bien, mais je suis trop bête, je ne peux pas utiliser ce que tu m'as dit de faire, car ça ne marche pas tout le temps.
Par exemple, j'autorise les balises <u> mais aussi <ul> et du coup ben avec ce masque, tous les ul sont transformés en u, donc je crois que je n'ai pas le choix que d'y écrire en dur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
'/<u[^>l]*>/i' //pour les <u> 
'/<ul[^>]*>/i' // pour les <ul>

Bah si ça marche, et je le prouve :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$str = "<ul class='foo'> <li><u>hello world</u></li> </ul>";
 
$reg = '/<(\w+)[^>]+>/i';
 
echo preg_replace($reg, '<$1>', $str);

[Invité]

Bon ben je dois être folle alors :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
<?php
	function verify_input_text($text)
	{	 
		$text = strip_tags($text, '<p><b><i><u><ul><li><em><span><br><br /><hr>');		
 
		$tags_masks ='/<(\w+)[^>]+>/i';
 
		$text = preg_replace($tags_masks, '<$1>', $text);		
 
		return($text);
	}
 
	echo '<H3>Test</H3>';
 
	echo '<FORM action="#" method="post">';
		echo '<TEXTAREA name="texte_poste"></TEXTAREA>';
		echo '<INPUT type="submit" value="Valider" />';
	echo '</FORM>';
 
	if(isset($_POST['texte_poste']) && $_POST['texte_poste']!='')
	{
		echo 'Texte saisi après épuration :<br />'.verify_input_text($_POST['texte_poste']);
	}
?>

Texte entré :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

essai <P onClick="javascript:alert(1);"><ul><li>d'un texte</li></ul></P> épuré.

Texte en sorti :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

essai <P><u><l>d'un texte</li></ul></P> épuré.

Ca marche pas chez moi

[EDIT]
En fait ça marche si les balises sont à épurer, si elles sont justes ça marche plus !
Par exemple, dans ton exemple à toi le ul ressort bien en ul mais le li est transformé en l si tu regardes le code source de la page.

[s.n.a.f.u]

Par exemple, dans ton exemple à toi le ul ressort bien en ul mais le li est transformé en l si tu regardes le code source de la page.

Ben voilà, il suffisait de le dire que je n'avais pas non plus les yeurx en face des trous.
Et la solution est oversimple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$str = "<ul class='foo'> <li><u>hello world</u></li> </ul>";
 
$reg = '/<(\w++)[^>]*>/i';
 
echo preg_replace($reg, '<$1>', $str);

[Invité]

Non mais ça arrive de passer à côté d'un truc ...

Alors pour toi c'est peut-être super simple, mais là tu m'a perdue !!

La doc dit :

+ Quantificateur de 1 ou plus

Bon ok donc un + veut dire 1 ou plus déjà, alors c'est quoi ce 2° + ??

Jme demande si je lis la bonne doc moi

[s.n.a.f.u]

Ca marche aussi avec un seul "+", et tu peux virer le deuxième qui est un quantificateur possessif. Je l'ai mis pour deux raisons : les perfs et une histoire de backtracking qui relève des regex "avancées", aussi je ne développerais pas.

[Invité]

Bon avec les deux "+", ça marche ce coup-ci.

Par contre j'ai pas vraiment compris mais pas grave (j'ai qu'à chercher le pourquoi du comment et je finirais bien par comprendre ), tu m'a déjà bien aidé donc je vais passer le sujet en résolu.

Merci beaucoup et bonne journée !!