Discussion :

[ChriGoLioNaDor]

Bonjour,

J'aimerai autoriser mes utilisateurs à saisir du code HTML, tout en limitant les risques d'exploitation de failles XSS.

Pour se faire, j'utilise html_special_chars($chaine, ENT_QUOTES, 'UTF-8') sur l'ensemble de la chaîne, puis j'essaie de retrouver les balises autorisées (une liste blanche quoi) pour décoder leurs symboles.

Mon soucis est que je n'arrive pas à trouver une expression régulière capturant à la fois les balises <p> mais aussi <p class="">, <p style="">, etc.
En effet, preg_replace('#&lt;p[^&gt;]*&gt;#i', '<p>', $chaine); ne reconnait aucune balise <p>. Je pense que le soucis vient de cette partie là : [^&gt;] où il n'apprécie pas l'usage de l'entité &gt;...

Quelqu'un saurait-il comment résoudre le soucis?

Merci d'avance.

[ChriGoLioNaDor]

Bonjour,

Julp m'a donné la réponse sur le chat, donc je la retranscrits ici au cas où quelqu'un d'autre serait intéressé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_replace('`&lt;p(?:(?!&gt;).)*&gt;(.*)&lt;/p&gt;`i', '<p>$1</p>', $chaine);

Je ne connaissais pas les assertions négatives (?!&gt;) qui étaient indispensable dans ce cas.

Pour bien faire les choses, un lien vers un tuto en rapport avec ce concept : http://g-rossolini.developpez.com/tu...yntaxe#LII-8-a


Une autre solution que j'ai trouvé après était simplement d'ajouter le modificateur "U" (ungreedy) afin que l'expression prenne le
plus petit motif qui marche au lieu d'aller chercher le plus grand.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_replace('`&lt;p.*&gt;(.*)&lt;/p&gt;`Ui', '<p>$1</p>', $chaine);

En tous cas merci beaucoup pour la réponse!