CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

begin process at 2010 02 09 22:20:58

Accueil Codes Tutoriels Forum Livres Emploi Services Connexion

Trouver un code source :

dans

[ Dernières recherches ]

Accueil >

E-Mail / Messagerie

> SÉCURISER ET PARSER UN MESSAGE POUR UN FORUM

SÉCURISER ET PARSER UN MESSAGE POUR UN FORUM

Information sur la source

Note :

9,25 / 10

Catégorie :E-Mail / Messagerie Niveau :Initié Date de création :03/10/2003 Vu :4 490

Auteur : olid

Ecrire un message privé

Site perso

Commentaire sur cette source (8)

Ajouter un commentaire et/ou une note

Description

Pour un forum, il est nécessaire d'interdire l'utilisation de code PHP, Javascript, et de limiter les balises HTML autorisées. Il faut aussi gèrer les mots trés longs (une URL, par exemple) pour éviter qu'ils déforment la mise en page du site.

Et pour la convivialité, il faut parser (ou interpreter) les URL ou adresses e-mail pour les rendre automatiquement cliquables. Enfin, - la cerise sur le gateau -, remplacer les caractères des smileys par des images.

Dans le source ci-dessous, on part du principe que le message saisi par l'utilisateur provient d'un champ TEXTAREA qui renvoie sa valeur dans la variable '$texte'. Il suffit de sauvegarder le contenu de cette variable à la fin du traitement pour avoir la version sécurisée.

La méthode utilisée ici pour sécuriser consiste à utiliser l'instruction 'htmlentities' aprés avoir parser - temporairement - les balises HTML que l'on veut autoriser avec des '-%' ou '%-' ; elles seront re-parser juste à la fin avec des '<' ou '>' pour les réactiver. Ici, on autorise les balises , , , et .

Puis, le traitement se fait mot-à-mot pour :
- mettre des séparations (qui seront effectives si jugées nécessaire par le navigateur) en cas de mots trés long,
- créer des liens avec les URL (commençant par http ou www),
- identifier les smileys avec prise en charge de ceux qui rigolent (ou pleurent) trop fort !!! ;op

Pour cette exemple, les smileys ne sont pas remplacés par des images, mais simplement mis en gras avec une étiquette affichant la pensée associée au smiley... Il sera pas difficile pour vous de le modifier pour l'emploie d'images.

NB: les curieux remarqueront qu'il est facile d'adapter ce source pour qu'il gère le BBCode à la place des balises HTML autorisées ;o)

Source

//Préformatage pour les étourdis :op
$texte = ucfirst($texte);
//Le retour chariot \r (de Windows) est implicite quand il y a un saut de ligne \n ... On les supprime !!!
$texte = str_replace ("\r", "", $texte);
//Si il y a un saut de ligne, on ferme toutes les balises (autorisées) de mise en forme.
$texte = str_replace ("\n", " ", $texte);
//On garde une copie de l'original
$texteoriginal=$texte;
//Suppression des caractères interdits
$texte = str_replace ("-%","",$texte);
$texte = str_replace ("%-","",$texte);
//Reformatage (temporaire) de la syntaxe des balises autorisées en remplacant < par -% et > par %-
$texte = str_replace (array (" "," "),"-%BR%-",$texte);
$texte = str_replace (array ("",""),"-%B%-",$texte);
$texte = str_replace (array ("",""),"-%/B%-",$texte);
$texte = str_replace (array ("",""),"-%U%-",$texte);
$texte = str_replace (array ("",""),"-%/U%-",$texte);
$texte = str_replace (array ("",""),"-%I%-",$texte);
$texte = str_replace (array ("",""),"-%/I%-",$texte);
//Decomposition du texte mot à mot
$mots = explode(" ",$texte);
//Boucle d'analyse de chaques mots
$nbmots = count($mots);
for ($i = 0; $i < $nbmots; $i++)
{
//Forcer les césures si un mot dépasse 50 caractères
$motproteger = wordwrap( $mots[$i], 50,"-%WBR%-",1);
//Désactive les balises HTML interdites (et autres codages Javascript, PHP, etc)
$motproteger = htmlentities($motproteger,ENT_QUOTES);
//Recherche de ce qui ressemble à un mail, une URL, ou un smileys pour transformer en lien ou image.
if (strpos($mots[$i],"@") > 3)
{
$mots[$i] = "<A HREF='mailto:$mots[$i]'>$motproteger</A>";
}
else if (strtolower(substr($mots[$i],0,7)) == "http://")
{
$motproteger = strtolower($motproteger);
if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
$mots[$i] = "<A HREF='$mots[$i]' TARGET=_blank>$motproteger</A>";
}
else if (strtolower(substr($mots[$i],0,4)) == "www.")
{
$motproteger = strtolower($motproteger);
if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
$mots[$i] = "<A HREF='http://$mots[$i]' TARGET=_blank>$motproteger</A>";
}
else if ((substr($mots[$i],0,4) == ":o))") AND (substr($mots[$i],-1) == ")"))
{
$mots[$i] = ":o))";
}
else if ($mots[$i] == ":o)")
{
$mots[$i] = ":o)";
}
else if ((substr($mots[$i],0,4) == ";o))") AND (substr($mots[$i],-1) == ")"))
{
$mots[$i] = ";o))";
}
else if ($mots[$i] == ";o)")
{
$mots[$i] = ";o)";
}
else if ($mots[$i] == ":op")
{
$mots[$i] = ":op";
}
else if ($mots[$i] == ";op")
{
$mots[$i] = ";op";
}
else if ((substr($mots[$i],0,4) == ":o((") AND (substr($mots[$i],-1) == "("))
{
$mots[$i] = ":o((";
}
else if ($mots[$i] == ":o(")
{
$mots[$i] = ":o(";
}
else if ($mots[$i] == ":o.")
{
$mots[$i] = ":o.";
}
else if ($mots[$i] == ":o|")
{
$mots[$i] = ":o|";
}
else
{
//Pour un mot banal, on utilise la version protégée sans balises HTML actives
$mots[$i] = $motproteger;
}
}
//Recolle les mots du texte
$texte = implode(" ",$mots);
//On restaure la syntaxe des balises autorisées
$texte = str_replace ("-%","<",$texte);
$texte = str_replace ("%-",">",$texte);
//On ajoute des anti-slash pour sauvegarder dans un champ TEXT d'une table SQL
//Ne pas oublier de faire un 'stripslashes' lors de la lecture du message depuis la table SQL
$texte = addslashes($texte);

		//Préformatage pour les étourdis :op
		$texte = ucfirst($texte);
		
		//Le retour chariot \r (de Windows) est implicite quand il y a un saut de ligne \n ... On les supprime !!!
		$texte = str_replace ("\r", "", $texte);
		
		//Si il y a un saut de ligne, on ferme toutes les balises (autorisées) de mise en forme.
		$texte = str_replace ("\n", " </B></U></I><BR> ", $texte);
		
		//On garde une copie de l'original
		$texteoriginal=$texte;
		
		//Suppression des caractères interdits 
		$texte = str_replace ("-%","",$texte);
		$texte = str_replace ("%-","",$texte);
		
		//Reformatage (temporaire) de la syntaxe des balises autorisées en remplacant < par -% et > par %-
		$texte = str_replace (array ("<BR>","<br>"),"-%BR%-",$texte);
		$texte = str_replace (array ("<B>","<b>"),"-%B%-",$texte);
		$texte = str_replace (array ("</B>","</b>"),"-%/B%-",$texte);
		$texte = str_replace (array ("<U>","<u>"),"-%U%-",$texte);
		$texte = str_replace (array ("</U>","</u>"),"-%/U%-",$texte);
		$texte = str_replace (array ("<I>","<i>"),"-%I%-",$texte);
		$texte = str_replace (array ("</I>","</i>"),"-%/I%-",$texte);
		
		//Decomposition du texte mot à mot
		$mots = explode(" ",$texte);
		
		//Boucle d'analyse de chaques mots
		$nbmots = count($mots);
		for ($i = 0; $i < $nbmots; $i++)
			{
			//Forcer les césures si un mot dépasse 50 caractères
			$motproteger = wordwrap( $mots[$i], 50,"-%WBR%-",1);
			
			//Désactive les balises HTML interdites (et autres codages Javascript, PHP, etc)
			$motproteger = htmlentities($motproteger,ENT_QUOTES);
			
			//Recherche de ce qui ressemble à un mail, une URL, ou un smileys pour transformer en lien ou image.
			if (strpos($mots[$i],"@") > 3)
				{
				$mots[$i] = "<A HREF='mailto:$mots[$i]'>$motproteger</A>";
				}
			else if (strtolower(substr($mots[$i],0,7)) == "http://")
				{
				$motproteger = strtolower($motproteger);
				if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
				$mots[$i] = "<A HREF='$mots[$i]' TARGET=_blank>$motproteger</A>";
				}
			else if (strtolower(substr($mots[$i],0,4)) == "www.")
				{
				$motproteger = strtolower($motproteger);
				if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
				$mots[$i] = "<A HREF='http://$mots[$i]' TARGET=_blank>$motproteger</A>";
				}
			else if ((substr($mots[$i],0,4) == ":o))") AND (substr($mots[$i],-1) == ")"))
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Mort de rire\">:o))</B>";
				}
			else if ($mots[$i] == ":o)")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Content(e)\">:o)</B>";
				}
			else if ((substr($mots[$i],0,4) == ";o))") AND (substr($mots[$i],-1) == ")"))
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil amusant\">;o))</B>";
				}
			else if ($mots[$i] == ";o)")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil\">;o)</B>";
				}
			else if ($mots[$i] == ":op")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue\">:op</B>";
				}
			else if ($mots[$i] == ";op")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue et cligne de l\'oeil\">;op</B>";
				}
			else if ((substr($mots[$i],0,4) == ":o((") AND (substr($mots[$i],-1) == "("))
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Pleure\">:o((</B>";
				}
			else if ($mots[$i] == ":o(")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Boude\">:o(</B>";
				}
			else if ($mots[$i] == ":o.")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Etonné\(e\)\">:o.</B>";
				}
			else if ($mots[$i] == ":o|")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Sans voix\">:o|</B>";
				}
			else
				{
				//Pour un mot banal, on utilise la version protégée sans balises HTML actives
				$mots[$i] = $motproteger;
				}
			}
			
		//Recolle les mots du texte
		$texte = implode(" ",$mots);
		
		//On restaure la syntaxe des balises autorisées
		$texte = str_replace ("-%","<",$texte);
		$texte = str_replace ("%-",">",$texte);
		
		//On ajoute des anti-slash pour sauvegarder dans un champ TEXT d'une table SQL
		//Ne pas oublier de faire un 'stripslashes' lors de la lecture du message depuis la table SQL
		$texte = addslashes($texte);

Conclusion

Merci de me le signaler si vous voyez une faille de sécurité dans ce système.

Sources du même auteur

GÉNÉRER UN LOG AU FORMAT APACHE POUR FAIRE DES STATISTIQUES ...

RÉSUMER UN TEXTE SANS COUPER LES MOTS OU PHRASES

TEMPS ÉCOULÉ (DURÉE) ENTRE 2 DATES SOUS FORME LITTÉRAL NATUR...

RACCOURCIR INTELLIGEMMENT UNE URL POUR L'AFFICHAGE SUR UNE P...

AFFICHER UNE DATE-HEURE RÉCENTE DANS UN FORMAT NATUREL ET LI...

Toutes les sources de olid

Sources de la même categorie

SCREENMAIL-SOLUTION DE CONTACT POUR WEBMASTERS par bnrj

FORMULAIRE EMAIL AVEC PIECE JOINTE REPRIS DE LITTLEBUBU par cfndiaye

MESSAGERIE INTERNE AVEC FICHIER TEXTE par polly19

FORMULAIRE EVOIE ET PLUS par florentinul

FILTRE POUR NEWSLETTERS GMAIL par durealex

Toutes les sources de la catégorie E-Mail / Messagerie

Commentaires et avis

Commentaire de kimmelf2 le 06/10/2003 01:28:30

j'ai pas trop le temps de regarder en detail ton code mais

-1- le but est interressant
-2- tu explique deja bien a quoi ca sert, et ce que ca va faire
-3- tu met un max de commentaire

n'ayant pas pu regarder + que ca et tester le pgm, je ne met pas ma note en haut pour ne pas fausser la moyenne. J'estime ta source a 7/10, je preferes garder une marge vers le haut pour qd j'aurais le temps de tester ta source (i will be back !!!! :-D)

mais si ca marche nickel, ca montera a 9
comme disais un de mes profs : "20 c'est pour Dieu, 19 pour moi, les autres notes pour les eleves ....". Pour moi, c'est "10/10 c'est pour le pgm parfait" mais comme y'a toujours mieux de possible ....

Commentaire de iubito le 07/10/2003 06:39:01

là où tu peux améliorer, ce sont avec des regexp pour parser les mail ou les url en tout genre http:// https:// ftp:// ed2k:// et compagnie
fodra que je mette une source avec mes 'tits codes du genre ;-p

Commentaire de olid le 07/10/2003 12:25:45

Jy comprend rien en regex :o((((((((((((((((((

Commentaire de Dark_Genova le 15/04/2004 15:49:35

Ca s'apprend c'est comme tout, je pense qu'avec les regx tu aurais pu faire ce code de manière plus simple est extrayant des morceux de texte au lieu des mots. Autrement c'est pas mal fait, mais pour te permettre de l'améliorer je vais te dire ce que tu peux changer:
_ $texte par $_POST['texte']
_ en faire une fonction
=> après je ne sais pas, je n'ai pas tout lu à la loupe.
++

Commentaire de bprod le 23/07/2004 08:59:56

Que de bonnes sources...
Merci encore !
8/10 ;)

Commentaire de supergrey le 08/05/2005 10:15:00

J'ai introduit ton code sur mon site et je crois qu'il y a un problème avec les accens on dirai que l'accens est bien transformé en à par exemple mais que le & est aussi codé donc ca devient & agrave; donc finalement ca affiche à

Commentaire de olid le 11/05/2005 19:38:18

pour supergrey:

tas ce genre deffet qd tu appliques 2 fois la cmd htmlentities sur le meme texte... Comme mon source le fait deja, tu nas po besoin de le faire (avant et/ou apres) :o|

Sinon, à la ligne cidessous:
$motproteger = htmlentities($motproteger,ENT_QUOTES);
Par:
$motproteger =striptags($motproteger);

Mais avec pour inconvenient que les codes HTML seront purement et simplement effacés au lieu d'etre désactivés :op

Commentaire de anzize le 09/06/2005 21:05:41

En tout cas, merci beaucoup !
Y a un truc que je recherchais depuis des décenies et là ! Pafff ! Mon problème est résolu !
Merci encore

Ajouter un commentaire

Nos sponsors

Derniers Blogs

[DIVERS] SUIVRE VOS SéRIES PRéFéRéS SUR LA TOILE par orion

TECHDAYS PARIS 2010 : LA BI DANS SHAREPOINT 2010 par ROMELARD Fabrice

TECHDAYS PARIS 2010 : DéPLOIEMENT DE NOUVELLES TECHNOLOGIES - RETOUR D'EXPéRIENCE PAR L'INFORMATIQUE DE MICROSOFT par ROMELARD Fabrice

TECHDAYS PARIS 2010 : PLAN DE MIGRATION VERS SHAREPOINT 2010 par ROMELARD Fabrice

TECHDAYS PARIS 2010 : LA PLEINIèRE DU SECOND JOUR par ROMELARD Fabrice

Forum

RE : AFFICHER LES MESSAGES ET LES MARQUER COMME LU par patheo

RE : COMMENT FAIRE UN SELECT DISTINCT EN AYANT PLUSIEURS CHAMPS? par mailliam

RE : AFFICHER LES MESSAGES ET LES MARQUER COMME LU par mkl238

RE : AFFICHER LES MESSAGES ET LES MARQUER COMME LU par patheo

CRéER UN COMPOSANT JOOMLA par asouma87

Côté IT

Offres d'emploi

Formations Video

Appels d'offres

PLATEFORME SUR L ESOTERISME VOYANCE - sans charte graphique
Budget : 3 500€
Joomla 15 module paiement adaptation composant cuisine
Budget : 250€
Integrateur web dans template
Budget : 500€

Logiciels

DB-MAIN (9.1.0)
DB-MAIN (9.1.0)

DB-MAIN is a data-modeling and data-architecture tool. It is designed to help developers and anal...

Cliquez pour télécharger DB-MAIN
Xilisoft DPG Convertisseur (5.1.37.0120)
XILISOFT DPG CONVERTISSEUR (5.1.37.0120)

Xilisoft DPG Convertisseur offre aux fans de Nintendo DS une bonne solution leur permettant de dé...

Cliquez pour télécharger Xilisoft DPG Convertisseur
GraphicsGale (2.01.01)
GRAPHICSGALE (2.01.01)

GraphicsGale est un logiciel de PixelArt avec de nombreuse fonctionnalités permettant de réalisé ...

Cliquez pour télécharger GraphicsGale
Architecte 3D (Platinum 2010)
ARCHITECTE 3D (PLATINUM 2010)

Architecte 3D Platinium vous permet de concevoir facilement les plans votre future maison, de l'é...

Cliquez pour télécharger Architecte 3D
TeamViewer 5 (TeamViewer 5)
TEAMVIEWER 5 (TEAMVIEWER 5)

Dépanner un ami,expliquer une manipulation devient un jeu d'enfant. Prise en main d'un autre ord...

Cliquez pour télécharger TeamViewer 5